Cómo saber qué IPs se han conectado por SSH

Quiero dejar otro tip realmente útil. Gracias a acurumo lo conozco, y es precisamente lo que digo en el título: Cómo saber qué IPs se han conectado por a nuestro ordenador.

Nuestros sistemas Linux guardan datos, información, logs de prácticamente todo, y buscando cómo podía leer de forma simple los logs específicos de algo, encontré un post de acurumo, el primero de su blog que por cierto, le quiero felicitar por tan buen inicio 😉

Bueno, al punto 😀

Los logs se guardan en /var/log/ y ahí, los que usamos distros tipo Debian o derivados, tenemos al archivo auth.log, que como su nombre indica guarda lo referente a autentificación, haciendo un simple cat (listando el contenido de él) y especificando que solo nos muestre las conexiones aceptadas, obtendremos lo que deseamos.

La línea sería:

cat /var/log/auth* | grep Accepted

En mi caso, muestra lo siguiente:

Ahí podemos ver la fecha de la conexión, el usuario y la IP desde donde se conectaron, así como algún que otro detalle.

Pero, podemos filtrar un poco más … les dejo el mismo comando, con algunos parámetros de awk :

sudo cat /var/log/auth* | grep Accepted | awk "{print $1 " " $2 "\t" $3 "\t" $11 "\t" $9 }"

Se vería así:

Como pueden ver, se muestra un poco más limpio todo.

En otro tipo de distos, si no encuentran ningún archivo similar a auth.log, intenten con secure*

Y esto viene siendo todo, agradecer una vez más a acurumo por el artículo original.

Bueno, nada más que agregar 😉

Saludos


16 comentarios

  1.   Fuuckw dijo

    Exelente gaara, gracias! esta pagina como me ha ayudado, saludos desde Venezuela.

    1.    KZKG^Gaara dijo

      Gracias 😀
      Saludos a tí también amigo.

  2.   E-minero dijo

    Esta pagina, esta buenisima y su contenido es tan especifico!!!

    1.    KZKG^Gaara dijo

      Gracias 😀
      Bienvenido al sitio 😉

  3.   msx dijo

    Aunque me puteen… no es ‘peligroso’ loguearse como root? En realidad no loguearse en sí sino tener una cuenta root en tu servidor sshd…
    Ya sé que los old school me van a saltar a la yugular con este comentario, pero la realidad es que es más ‘tanquilo’ si te logueás como un usuario X y luego elevás tus permisos ya que por más que el server sea un Unix-like y que lo tengas asegurado con un kernel pf o grsec, selinux, {poner aquí parafernalia de seguridad preferida}, etc., el tener una cuenta root puede hacer que mas de un script kiddie se divierta tirando ataques de fuerza bruta, etc. 😛

    1.    KZKG^Gaara dijo

      Este screenshot es de mi laptop jeje, y con la configuración de iptables que tengo implementada… créeme que duermo sin problemas JAJA

  4.   Mystog@N dijo

    No creo que los old school te abucheen por eso… digo yo, cada quien sabe lo que hace, particularmente yo también deshabilito la cuenta de root para el logueo por ssh, es más, ni siquiera lo hago por el tradicional puerto 22.

  5.   Marcelo dijo

    last -i

  6.   Giskard dijo

    Está muy bueno. Paso a guardar este link 🙂

  7.   Browsons dijo

    Cabe destacar que en centos es /var/log/secure*

    1.    KZKG^Gaara dijo

      Cierto, en las distros RPM es ahí 🙂

  8.   Faustod dijo

    Buen Post!!!

  9.   Danilo dijo

    Buen post !!! y como se hace para tirar un comando y ver que ip se conectaron en especifico?

  10.   Jose Tapia dijo

    Excelente información mil gracias

  11.   Jose Tapia dijo

    Muchas gracias por la información, claro simple y conciso, genial 🙂

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: Miguel Ángel Gatón
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.