From felix at f-hauri.ch Sun Jun 1 18:20:14 2025 From: felix at f-hauri.ch (=?utf-8?B?RsOpbGl4?= Hauri) Date: Sun, 1 Jun 2025 18:20:14 +0200 Subject: [gull] Truc et astuces: suivre auth.log en remplaceant les hashes pas des nom de clefs Message-ID: Monitoring live: suivre les log auth.log, mais en remplaçant les hashes des clefs pas les noms des clefs, figurants des les fichiers authorized_keys: A noter depuis la version OpenSSH 7.2/7.2p1 (2016-02-29), la commande ``ssh-keygen -l'' permet de lister plusieurs clef ( Je n'avais pas retouché mes scripts depuis un moment ;-). Bref, c'est bien plus "facile" à présent: # tail -f /var/log/auth.log | sed -ue "$( cat .ssh/authorized_keys /home/*/.ssh/authorized_keys | sort -u | ssh-keygen -l -f - | sed '/^[0-9]\+ $[^ ]\+$ $[^ ]\+$ ($[^ ]\+$) *$/{ s//s|\3 \1|\\o33[1m\2\\o33[0m|;/; }; ')" ou $ sudo tail -f /var/log/auth.log | sed -ue "$( sudo cat /root/.ssh/authorized_keys /home/*/.ssh/authorized_keys | sort -u | ssh-keygen -l -f - | sed '/^[0-9]\+ $[^ ]\+$ $[^ ]\+$ ($[^ ]\+$) *$/{ s//s|\3 \1|\\o33[1m\2\\o33[0m|;/; }; ')" -- Félix Hauri - - http://www.f-hauri.ch From felix at f-hauri.ch Sun Jun 1 18:31:32 2025 From: felix at f-hauri.ch (=?utf-8?B?RsOpbGl4?= Hauri) Date: Sun, 1 Jun 2025 18:31:32 +0200 Subject: [gull] Truc et astuces: suivre auth.log en remplaceant les hashes pas des nom de clefs In-Reply-To: References: Message-ID: A noter que cela fonctionne égallent avec `journactl`: $ sudo journalctl -axf | sed -ue "$(sudo cat ... ou # journalctl -axf | sed -ue "$(cat ... $ sudo journalctl -axfu ssh | sed... # journalctl -axfu ssh | sed... ... les vielles habitues ont la vie dure! ;-) Le Sun, Jun 01, 2025 at 06:20:14PM +0200, Félix Hauri via gull a écrit : > Monitoring live: suivre les log auth.log, mais en remplaçant les hashes des > clefs pas les noms des clefs, figurants des les fichiers authorized_keys: > > A noter depuis la version OpenSSH 7.2/7.2p1 (2016-02-29), la commande > ``ssh-keygen -l'' permet de lister plusieurs clef ( Je n'avais pas retouché > mes scripts depuis un moment ;-). > > Bref, c'est bien plus "facile" à présent: > > # tail -f /var/log/auth.log | > sed -ue "$( > cat .ssh/authorized_keys /home/*/.ssh/authorized_keys | > sort -u | > ssh-keygen -l -f - | > sed '/^[0-9]\+ $[^ ]\+$ $[^ ]\+$ ($[^ ]\+$) *$/{ > s//s|\3 \1|\\o33[1m\2\\o33[0m|;/; }; ')" > > ou > > $ sudo tail -f /var/log/auth.log | > sed -ue "$( > sudo cat /root/.ssh/authorized_keys /home/*/.ssh/authorized_keys | > sort -u | > ssh-keygen -l -f - | > sed '/^[0-9]\+ $[^ ]\+$ $[^ ]\+$ ($[^ ]\+$) *$/{ > s//s|\3 \1|\\o33[1m\2\\o33[0m|;/; }; ')" > > > -- > Félix Hauri - - http://www.f-hauri.ch > _______________________________________________ > gull mailing list > gull at forum.linux-gull.ch > https://forum.linux-gull.ch/mailman/listinfo/gull -- Félix Hauri - - http://www.f-hauri.ch __________________________________________________________________________ Félix Hauri - Informaticien consultant |\ /| ___ _ -------------------------------------- | \ __ / | / - / o 4, rue Centrale / CH-1450 Sainte-Croix | . . | /_ ___ / Tél: (+41/0) 24 454 54 04 Fax:..54 00 | /\ | / /__/ / / \/ http://www.f-hauri.ch | \ __ / | / /__ /_ /_ /\ email: felix at f-hauri.ch \ ____ / --------------------- Félix Hauri - Informaticien consultant - Tél: (+41/0) 24 454 54 04 - 079 703 15 36 - http://www.f-hauri.ch ########################################################################## Ni PGP, ni cryptage: Tant que mal maîtrisé et/ou mal installé ce sys- tème est entre inutile et dangereux. Attention! Il existe désormais des dispositions légales tendant à faire valoir à une signature électronique le même poids qu'une signature manuscrite! ########################################################################## From felix at f-hauri.ch Sun Jun 1 18:39:58 2025 From: felix at f-hauri.ch (=?utf-8?B?RsOpbGl4?= Hauri) Date: Sun, 1 Jun 2025 18:39:58 +0200 Subject: [gull] Truc et astuces: suivre auth.log en remplaceant les hashes pas des nom de clefs In-Reply-To: References: Message-ID: Voire, pour la couleur, comme il n'y a pas d'option ``color=always'': # script -f /dev/null -c 'journalctl -axf' | sed -ue "$( cat .ssh/authorized_keys /home/*/.ssh/authorized_keys|sort -u | ssh-keygen -l -f - | sed '/^[0-9]\+ $[^ ]\+$ $[^ ]\+$ ($[^ ]\+$) *$/{ s//s|\3 \1|\\o33[1;35m\2\\o33[0m|;/; }; ')" Le Sun, Jun 01, 2025 at 06:31:32PM +0200, Félix Hauri via gull a écrit : > A noter que cela fonctionne égallent avec `journactl`: > $ sudo journalctl -axf | sed -ue "$(sudo cat ... > ou > # journalctl -axf | sed -ue "$(cat ... > $ sudo journalctl -axfu ssh | sed... > # journalctl -axfu ssh | sed... > From felix at f-hauri.ch Sun Jun 1 18:39:58 2025 From: felix at f-hauri.ch (=?utf-8?B?RsOpbGl4?= Hauri) Date: Sun, 1 Jun 2025 18:39:58 +0200 Subject: [gull] Truc et astuces: suivre auth.log en remplaceant les hashes pas des nom de clefs In-Reply-To: References: Message-ID: Voire, pour la couleur, comme il n'y a pas d'option ``color=always'': # script -f /dev/null -c 'journalctl -axf' | sed -ue "$( cat .ssh/authorized_keys /home/*/.ssh/authorized_keys|sort -u | ssh-keygen -l -f - | sed '/^[0-9]\+ $[^ ]\+$ $[^ ]\+$ ($[^ ]\+$) *$/{ s//s|\3 \1|\\o33[1;35m\2\\o33[0m|;/; }; ')" Le Sun, Jun 01, 2025 at 06:31:32PM +0200, Félix Hauri via gull a écrit : > A noter que cela fonctionne égallent avec `journactl`: > $ sudo journalctl -axf | sed -ue "$(sudo cat ... > ou > # journalctl -axf | sed -ue "$(cat ... > $ sudo journalctl -axfu ssh | sed... > # journalctl -axfu ssh | sed... >