Nedávno jsem to vysvětlil jak zjistit, které IP adresy byly připojeny pomocí SSH, ale ... co když bylo uživatelské jméno nebo heslo nesprávné a nepřipojili se?
Jinými slovy, pokud se někdo snaží uhodnout, jak přistupovat k našemu počítači nebo serveru přes SSH, opravdu to musíme vědět, nebo ne?
Za tímto účelem provedeme stejný postup jako v předchozím příspěvku, filtrujeme protokol ověřování, ale tentokrát s jiným filtrem:
cat /var/log/auth* | grep Failed
Nechávám screenshot toho, jak to vypadá:
Jak vidíte, ukazuje mi měsíc, den a čas každého neúspěšného pokusu, stejně jako uživatele, se kterým se pokusili vstoupit, a IP, ze kterého se pokusili získat přístup.
Ale toto může být uspořádáno trochu víc, použijeme Awk trochu vylepšit výsledek:
cat /var/log/auth* | grep Failed | awk '{print $2 "-" $1 " " $3 "\t USUARIO: " $9 "\t DESDE: " $11}'
Zde vidíme, jak by to vypadalo:
Tento řádek, který jsem vám právě ukázal, by si neměl zapamatovat všichni, můžete vytvořit přezdívka pro ni je výsledek stejný jako u prvního řádku, jen o něco organizovanější.
To vím, že nebude užitečné pro mnoho, ale pro ty z nás, kteří spravujeme servery, vím, že nám to ukáže několik zajímavých dat hehe.
pozdravy
Velmi dobré využití trubek
pozdravy
Děkuji
Vynikající 2 příspěvek
Vždy jsem použil první, protože nevím awk, ale budu se to muset naučit
cat / var / log / auth * | grep se nezdařil
Tady, kde pracuji, na Fakultě matematiky a výpočetní techniky na Univ de Oriente na Kubě máme továrnu „malých hackerů“, kteří neustále vymýšlejí věci, které by neměli, a já musím být s 8 očima. Téma ssh je jedním z nich. Díky za tip vole.
Jedna otázka: pokud má server obrácený k internetu, ale v iptables otevírá port ssh pouze pro určité interní adresy MAC (řekněme z kanceláře), pokusy o přístup ze zbytku interních adres by se dostaly do protokolu ověřování a / nebo externí? Protože mám své pochybnosti.
V protokolu se ukládají pouze požadavky povolené firewallem, které však systém jako takový odmítá nebo schvaluje (myslím přihlášení).
Pokud firewall neumožňuje předání požadavků SSH, do protokolu se nic nedostane.
To jsem nezkoušel, ale pojď ... Myslím, že to musí být takhle 😀
grep -i selhalo /var/log/auth.log | awk '{print $ 2 «-» $ 1 »» $ 3 «\ t UŽIVATEL:» $ 9 «\ t OD:» $ 11}'
rgrep -i selhalo / var / log / (logrotuje složky) | awk '{print $ 2 «-» $ 1 »» $ 3 «\ t UŽIVATEL:» $ 9 «\ t OD:» $ 11}'
v centos-redhat… .. atd ...
/ var / log / zabezpečit