Hace no mucho expliqué cómo saber qué IPs se han conectado por SSH, pero… ¿y si el usuario o password fue incorrecto y no se conectaron?
O sea, si hay alguien intentando adivinar cómo acceder por SSH a nuestro ordenador o servidor, de veras necesitamos saberlo ¿o no?
Para eso haremos el mismo procedimiento que en el post anterior, filtraremos el log de autentificación pero esta vez, con un filtro diferente:
cat /var/log/auth* | grep Failed
Les dejo un screenshot sobre cómo se ve:
Como pueden ver, me muestra el mes, día y hora de cada intento fallido, así como el usuario con que intentaron entrar y la IP desde la cual intentaron acceder.
Pero esto se puede organizar un poco más, usaremos awk para mejorar un poco el resultado:
cat /var/log/auth* | grep Failed | awk '{print $2 "-" $1 " " $3 "\t USUARIO: " $9 "\t DESDE: " $11}'
Aquí vemos cómo nos quedaría:
Esta línea que les acabo de mostrar no deben aprendérsela toda de memoria, pueden crear un alias para ella, de todas formas el resultado es el mismo que con la primera línea, solo que un poco más organizado.
Esto sé que no a muchos les será de utilidad, pero a los que administramos servidores sé que sí nos mostrará unos cuantos datos interesantes jeje.
Saludos