Dokumentation des Logformats von OpenSSH gesucht

ari

Well-Known Member
Ich beschäftige mich gerade ein wenig mit dem Hintergrundrauschen des Internets. Vor allem will ich mir gerne etwas näher anschauen, wer oder was da draußen versucht über SSH in meine Systeme einzubrechen. Nur der Klarheit halber: Mir geht's nicht um Sicherheit und die Sauberkei meiner Logs - ausschließlich keybasierte Authentifizierung habe ich seit Jahren konfiguriert und das Logvolumen ließe sich mit MaxStartups, IP-ACL, Fail2Ban und Konsorten problemlos limitieren. Das ist schlichtweg "Jugend forscht". :D

Um meine Logs richtig zu lesen (und in weiterer Folge ein paar Zeilen Code stricken zu können um Dinge wie IP-Adressen rausparsen zu können) habe ich mich auf die Suche nach der Dokumentation für das Logformat von OpenSSH gemacht und bin bisher daran gescheitert. Ein paar Dinge erscheinen auf den ersten Blick relativ klar und eindeutig. Verbindungsversuche mit ungültigen Benutzer:innenname scheinen immer drei Zeilen zu sein. Mit gültigem Benutzer:innenname scheinen es zwei Zeilen zu sein. Dann gibt's aber noch Fälle wie im folgenden Logschnipsel:

Code:
Sep  2 15:01:56 xxx sshd[45173]: Connection closed by 113[.]233[.]127[.]153 port 43994 [preauth]
Sep  2 15:09:58 xxx sshd[1375]: fatal: Timeout before authentication for 120[.]48[.]36[.]126 port 54476

Zu dem ersten Prozess beziehungsweise der ersten Verbindung gibt's in den Logs keine Hinweise auf einen erfolgten Verbindungsversuch sondern nur die Meldung, dass eine Verbindung geschlossen wurde. Im zweiten Fall gibt's auch nur die eine Logzeile - in dem Fall hab ich die Information, dass es zu einem Timeout gekommen ist, bevor der Bot verbindende Rechner sich authentifiziert hat. Aber bei der ersten Zeile habe ich keine Ahnung was passiert ist. Vielleicht mag es Sinn machen temporär Debug-Logging aufzudrehen, aber das überschwemmt mich auch wieder mit Informationen.

Die Manpages für sshd(8) und sshd_config(5) habe ich bereits konsultiert, leider ohne Erfolg. Den RFC für das Authentication Protocol habe ich bisher nur überflogen, aber auch da ist mir nichts in's Auge gesprungen. Ich bin wirklich kurz davor zu beginnen im Source Code graben zu gehen, aber .. ich habe die Hoffnung, dass ich mir das ersparen kann. :ugly: Hat vielleicht von euch jemand eine Referenz zur Hand? Danke.
 
Das erste ist eine Verbindung wo halt nix passiert ist. ZB mit netcat auf 22 drauf, oder auch wenn der Client den Handshake nicht fertig macht, weil der Hostkey nicht übereinstimmt/bestätigt werden muss.
 
Zurück
Oben