Vor nicht allzu langer Zeit habe ich es erklärt So erfahren Sie, welche IPs über SSH verbunden sind, aber ... was wäre, wenn der Benutzername oder das Passwort falsch war und keine Verbindung hergestellt wurde?
Ich meine, wenn jemand herausfinden möchte, wie er eine SSH-Verbindung zu unserem Computer oder Server herstellt, müssen wir es wirklich wissen, oder?
Dazu führen wir das gleiche Verfahren wie im vorherigen Beitrag durch und filtern das Authentifizierungsprotokoll, dieses Mal jedoch mit einem anderen Filter:
cat /var/log/auth* | grep Failed
Ich hinterlasse Ihnen einen Screenshot, wie es aussieht:
Wie Sie sehen, werden mir Monat, Tag und Uhrzeit jedes fehlgeschlagenen Versuchs angezeigt, außerdem der Benutzer, mit dem er sich anzumelden versuchte, und die IP-Adresse, von der aus er sich anzumelden versuchte.
Aber das lässt sich noch etwas arrangieren, das nutzen wir awk um das Ergebnis etwas zu verbessern:
cat /var/log/auth* | grep Failed | awk '{print $2 "-" $1 " " $3 "\t USUARIO: " $9 "\t DESDE: " $11}'
Hier sehen wir, wie es aussehen würde:
Diese Zeile, die ich Ihnen gerade gezeigt habe, sollten Sie nicht alles auswendig lernen, Sie können eine erstellen alias Für sie ist das Ergebnis jedoch das gleiche wie bei der ersten Zeile, nur etwas organisierter.
Ich weiß, dass dies für viele nicht nützlich sein wird, aber für diejenigen von uns, die Server verwalten, weiß ich, dass es uns einige interessante Daten zeigen wird, hehe.
Grüße
Sehr gute Verwendung von Rohren
Grüße
dank
Hervorragend die 2 Beiträge
Ich habe immer das erste verwendet, weil ich awk nicht kenne, aber ich muss es lernen
cat /var/log/auth* | grep fehlgeschlagen
Hier, wo ich arbeite, in der Mathematik-Informatik-Fakultät der Univ de Oriente in Kuba, haben wir eine Fabrik von „Hackern“, die ständig Dinge erfinden, die sie nicht sollten, und ich muss mit 8 Augen dabei sein. Das SSH-Problem ist eines davon. Danke für den Tipp, Alter.
Eine Frage: Wenn man einen Server mit Blick auf das Internet hat, aber in iptables den SSH-Port nur für bestimmte interne MAC-Adressen öffnet (z. B. von einem Büro aus), würden Zugriffsversuche von den übrigen internen Adressen das Authentifizierungsprotokoll und/oder externe erreichen ? Weil ich meine Zweifel habe.
Im Protokoll werden nur die Anfragen gespeichert, die von der Firewall zugelassen, aber vom System als solchen abgelehnt oder genehmigt wurden (ich meine den Login).
Wenn die Firewall keine SSH-Anfragen zulässt, wird nichts protokolliert.
Ich habe das noch nicht ausprobiert, aber komm schon... ich denke, so sollte es sein 😀
grep -i fehlgeschlagen /var/log/auth.log | awk '{print $2 «-» $1 » » $3 «\t USER: » $9 «\t FROM: » $11}'
rgrep -i failed /var/log/(logrotates Folders) | awk '{print $2 «-» $1 » » $3 «\t USER: » $9 «\t FROM: » $11}'
in Centos-Redhat…..etc……
/ var / log / sicher