Quiero dejar otro tip realmente útil. Gracias a acurumo lo conozco, y es precisamente lo que digo en el título: Cómo saber qué IPs se han conectado por SSH a nuestro ordenador.
Nuestros sistemas Linux guardan datos, información, logs de prácticamente todo, y buscando cómo podía leer de forma simple los logs específicos de algo, encontré un post de acurumo, el primero de su blog que por cierto, le quiero felicitar por tan buen inicio 😉
Bueno, al punto 😀
Los logs se guardan en /var/log/ y ahí, los que usamos distros tipo Debian o derivados, tenemos al archivo auth.log, que como su nombre indica guarda lo referente a autentificación, haciendo un simple cat (listando el contenido de él) y especificando que solo nos muestre las conexiones aceptadas, obtendremos lo que deseamos.
La línea sería:
cat /var/log/auth* | grep Accepted
En mi caso, muestra lo siguiente:
Ahí podemos ver la fecha de la conexión, el usuario y la IP desde donde se conectaron, así como algún que otro detalle.
Pero, podemos filtrar un poco más … les dejo el mismo comando, con algunos parámetros de awk :
sudo cat /var/log/auth* | grep Accepted | awk '{print $1 " " $2 "\t" $3 "\t" $11 "\t" $9 }'
Se vería así:
Como pueden ver, se muestra un poco más limpio todo.
En otro tipo de distos, si no encuentran ningún archivo similar a auth.log, intenten con secure*
Y esto viene siendo todo, agradecer una vez más a acurumo por el artículo original.
Bueno, nada más que agregar 😉
Saludos
Exelente gaara, gracias! esta pagina como me ha ayudado, saludos desde Venezuela.
Gracias 😀
Saludos a tí también amigo.
Esta pagina, esta buenisima y su contenido es tan especifico!!!
Gracias 😀
Bienvenido al sitio 😉
Muy bueno
Aunque me puteen… no es ‘peligroso’ loguearse como root? En realidad no loguearse en sí sino tener una cuenta root en tu servidor sshd…
Ya sé que los old school me van a saltar a la yugular con este comentario, pero la realidad es que es más ‘tanquilo’ si te logueás como un usuario X y luego elevás tus permisos ya que por más que el server sea un Unix-like y que lo tengas asegurado con un kernel pf o grsec, selinux, {poner aquí parafernalia de seguridad preferida}, etc., el tener una cuenta root puede hacer que mas de un script kiddie se divierta tirando ataques de fuerza bruta, etc. 😛
Este screenshot es de mi laptop jeje, y con la configuración de iptables que tengo implementada… créeme que duermo sin problemas JAJA
No creo que los old school te abucheen por eso… digo yo, cada quien sabe lo que hace, particularmente yo también deshabilito la cuenta de root para el logueo por ssh, es más, ni siquiera lo hago por el tradicional puerto 22.
last -i
Está muy bueno. Paso a guardar este link 🙂
Cabe destacar que en centos es /var/log/secure*
Cierto, en las distros RPM es ahí 🙂
Buen Post!!!
Buen post !!! y como se hace para tirar un comando y ver que ip se conectaron en especifico?
Excelente información mil gracias
Muchas gracias por la información, claro simple y conciso, genial 🙂