主页 / server / 问题 / 615386
Accepted
ewwhite
Asked: 2014-07-25 20:08:05 +0800 CST

重用远程 ssh 连接并减少命令/会话日志记录的详细程度?

  • 772

我有许多依赖应用程序级镜像到辅助服务器的系统。辅助服务器通过在主服务器上执行的一系列远程 SSH 命令来拉取数据。该应用程序有点像一个黑匣子,我可能无法对使用的脚本进行修改。

我的问题是登录 /var/log/secure 绝对充斥着来自服务用户的请求,admin. 这些命令每秒发生多次,并对日志产生相应的影响。他们依赖于无密码的密钥交换。涉及的操作系统是 EL5 和 EL6。下面的例子。

  • 有什么方法可以减少这些操作的日志记录量。(按用户?按来源?)
  • 开发人员是否有一种更简洁的方法来执行这些 ssh 执行而不产生这么多会话?似乎效率低下。我可以重复使用现有的连接吗?

示例日志输出:

Jul 24 19:08:54 Cantaloupe sshd[46367]: pam_unix(sshd:session): session closed for user admin
Jul 24 19:08:54 Cantaloupe sshd[46446]: Accepted publickey for admin from 172.30.27.32 port 33526 ssh2
Jul 24 19:08:54 Cantaloupe sshd[46446]: pam_unix(sshd:session): session opened for user admin by (uid=0)
Jul 24 19:08:54 Cantaloupe sshd[46446]: pam_unix(sshd:session): session closed for user admin
Jul 24 19:08:54 Cantaloupe sshd[46475]: Accepted publickey for admin from 172.30.27.32 port 33527 ssh2
Jul 24 19:08:54 Cantaloupe sshd[46475]: pam_unix(sshd:session): session opened for user admin by (uid=0)
Jul 24 19:08:54 Cantaloupe sshd[46475]: pam_unix(sshd:session): session closed for user admin
Jul 24 19:08:54 Cantaloupe sshd[46504]: Accepted publickey for admin from 172.30.27.32 port 33528 ssh2
Jul 24 19:08:54 Cantaloupe sshd[46504]: pam_unix(sshd:session): session opened for user admin by (uid=0)
Jul 24 19:08:54 Cantaloupe sshd[46504]: pam_unix(sshd:session): session closed for user admin
Jul 24 19:08:54 Cantaloupe sshd[46583]: Accepted publickey for admin from 172.30.27.32 port 33529 ssh2
Jul 24 19:08:54 Cantaloupe sshd[46583]: pam_unix(sshd:session): session opened for user admin by (uid=0)
Jul 24 19:08:54 Cantaloupe sshd[46583]: pam_unix(sshd:session): session closed for user admin
Jul 24 19:08:54 Cantaloupe sshd[46612]: Accepted publickey for admin from 172.30.27.32 port 33530 ssh2
Jul 24 19:08:54 Cantaloupe sshd[46612]: pam_unix(sshd:session): session opened for user admin by (uid=0)
Jul 24 19:08:54 Cantaloupe sshd[46612]: pam_unix(sshd:session): session closed for user admin
Jul 24 19:08:55 Cantaloupe sshd[46641]: Accepted publickey for admin from 172.30.27.32 port 33531 ssh2
Jul 24 19:08:55 Cantaloupe sshd[46641]: pam_unix(sshd:session): session opened for user admin by (uid=0)
Jul 24 19:08:55 Cantaloupe sshd[46641]: pam_unix(sshd:session): session closed for user admin
Jul 24 19:08:55 Cantaloupe sshd[46720]: Accepted publickey for admin from 172.30.27.32 port 33532 ssh2
Jul 24 19:08:55 Cantaloupe sshd[46720]: pam_unix(sshd:session): session opened for user admin by (uid=0)
Jul 24 19:08:55 Cantaloupe sshd[46720]: pam_unix(sshd:session): session closed for user admin
Jul 24 19:08:55 Cantaloupe sshd[46749]: Accepted publickey for admin from 172.30.27.32 port 33533 ssh2
Jul 24 19:08:55 Cantaloupe sshd[46749]: pam_unix(sshd:session): session opened for user admin by (uid=0)
Jul 24 19:08:55 Cantaloupe sshd[46749]: pam_unix(sshd:session): session closed for user admin
Jul 24 19:08:55 Cantaloupe sshd[46778]: Accepted publickey for admin from 172.30.27.32 port 33534 ssh2
Jul 24 19:08:55 Cantaloupe sshd[46778]: pam_unix(sshd:session): session opened for user admin by (uid=0)
Jul 24 19:08:55 Cantaloupe sshd[46778]: pam_unix(sshd:session): session closed for user admin
Jul 24 19:08:55 Cantaloupe sshd[46857]: Accepted publickey for admin from 172.30.27.32 port 33535 ssh2
linux

3 个回答

  1. Best Answer

    具体回答有关是否可以减少产生更多 SSH 连接的开销的问题:是的。您可以使用自 OpenSSH 5.5 以来存在的 ControlMaster 功能。这篇博文将有更多详细信息:http: //puppetlabs.com/blog/speed-up-ssh-by-reusing-connections

    我不确定这是否会影响发生多少日志记录。但是,根据应用程序的编写方式,可能无需实际修改应用程序就可以使用此功能,只需重新配置 OpenSSH。假设它甚至使用 OpenSSH 作为客户端,或者具有此支持的不同客户端。这里没有足够的信息可以确定。

    • 3

  2. 由于您使用的是 rsyslog,因此您可以选择非常轻松地过滤消息。丢弃消息的一个基本示例是:

    #/etc/rsyslog.cof 

# this is original log file including all authpriv messages regarding admin
authpriv.* /var/log/secure.admin

# These rules filter the remote key based logins for admin
:msg, contains, "Accepted publickey for admin from 172.30.27.32" ~
:msg, contains, "session opened for user admin" ~
:msg, contains, "session closed for user admin" ~
authpriv.*     /var/log/secure

    波浪号~是丢弃包含前一个字符串的消息的指令。

    稍微更高级和更好的语法(未经测试)是:

    if $syslogfacility-text == 'authpriv' and 
 ($msg contains 'for user admin' or $msg contains 'publickey for admin from 172.30.27.32') 
then /var/log/secure.admin

if $syslogfacility-text == 'authpriv' and not
 ($msg contains 'for user admin' or $msg contains 'publickey for admin from 172.30.27.32') 
then /var/log/secure

    每个 if 语句都在一行中。

    • 1

  3. 关于此的更新...

    我通过启用 SSH ControlMaster 功能在我的 RHEL/CentOS EL6 系统上解决了这个问题:

    在连接主机的/home/username/.ssh/config文件上:

    Host *
ControlMaster auto
ControlPath ~/.ssh/sockets/%r@%h-%p
#ControlPersist 600

    ~/.ssh/sockets/目录需要手动创建。

    ControlPersist指令是一种持久性功能,尚未向后移植到 EL6 中可用的 OpenSSH。我希望是这样,因为没有它,一旦初始连接终止,多路复用连接就会终止。

    我已经在连接主机上使用了一个又快又脏的Monit脚本绕过了这个问题。

    check process ssh-control
        matching "MNn"
        start program = "/usr/bin/ssh -MNn destination" as uid username
        stop program = "/usr/bin/pkill -u username ssh"

    我要连接的系统在哪里,并且是应用程序复制系统的服务帐户(在本例中为admin)。

    ssh -M用于主模式和 SSH 连接共享。

    -M 将 ssh 客户端置于“主”模式以进行连接共享。多个 -M 选项将 ssh 置于“主”模式,在接受从连接之前需要确认。

    所有这一切的结果是干净的日志......并且复制服务器启动的一系列 ssh 命令都重用了由主连接创建的打开套接字。

    一旦这个特性进入 EL6 OpenSSH 包,我就可以摆脱 Monit 脚本,只使用ControlPersist参数。

    • 0

相关问题