Kuidas teada saada, milliseid ebaõnnestunud SSH-katseid meie serveril on olnud

Alejandro (a.k.a KZKG^Gaara)

1 minut

Mitte kaua aega tagasi seletasin kuidas teada saada, milliseid IP-sid on SSH ühendanud, aga ... mis siis, kui kasutajanimi või parool oli vale ja nad ei saanud ühendust?

Teisisõnu, kui keegi üritab arvata, kuidas SSH kaudu meie arvutisse või serverisse pääseda, siis peame seda tõesti teadma?

Selleks teeme sama protseduuri nagu eelmises postituses, filtreerime autentimislogi, kuid seekord teise filtriga:

cat /var/log/auth* | grep Failed

Nad peaksid ülaltoodud käsku käivitama nagu juurvõi koos sudo teha seda administraatoriõigustega.

Jätan ekraanipildi selle välimusest:

Nagu näete, näitab see mulle iga ebaõnnestunud katse kuud, päeva ja kellaaega, samuti kasutajat, kellega nad proovisid sisestada, ja IP-d, kust nad proovisid juurde pääseda.

Kuid seda saab natuke rohkem korraldada, me kasutame awk tulemuse natuke parandamiseks:

cat /var/log/auth* | grep Failed | awk '{print $2 "-" $1 " " $3 "\t USUARIO: " $9 "\t DESDE: " $11}'

Ülaltoodud on ÜKS rida.

Siin näeme, kuidas see välja näeks:

Seda rida, mida ma teile just näitasin, ei tohiks seda kõike pähe õppida, saate luua a alias tema jaoks on tulemus sama, mis esimese rea puhul, lihtsalt veidi organiseeritum.

See, mida ma tean, pole paljudele kasulik, kuid meie jaoks, kes haldame servereid, tean, et see näitab meile huvitavaid andmeid hehe.

seoses


Jäta oma kommentaar

Sinu e-postiaadressi ei avaldata. Kohustuslikud väljad on tähistatud *

*

*

  1. Andmete eest vastutab: Miguel Ángel Gatón
  2. Andmete eesmärk: Rämpsposti kontrollimine, kommentaaride haldamine.
  3. Seadustamine: teie nõusolek
  4. Andmete edastamine: andmeid ei edastata kolmandatele isikutele, välja arvatud juriidilise kohustuse alusel.
  5. Andmete salvestamine: andmebaas, mida haldab Occentus Networks (EL)
  6. Õigused: igal ajal saate oma teavet piirata, taastada ja kustutada.

  1.   hackloper775 DIJO
    tagasi 12 aastat

    Torude väga hea kasutamine

    seoses

    Vasta hackloper775-le
    1.    KZKG ^ Gaara DIJO
      tagasi 12 aastat

      Aitäh

      Vasta KZKG ^ Gaarale
  2.   FIXOCONN DIJO
    tagasi 12 aastat

    Suurepärane 2 postitus

    Vasta aadressile FIXOCONN
  3.   Müstog @ N DIJO
    tagasi 12 aastat

    Ma kasutasin alati esimest, sest ma ei tea awk-d, kuid ma pean selle õppima

    kass / var / log / auth * | grep nurjus

    Siin, kus ma töötan, Kuuba Univ de Oriente matemaatikateaduskonnas on meil tehas "väikestest häkkeritest", kes leiutavad pidevalt asju, mida nad ei peaks ja ma pean olema 8 silmaga. Ssh teema on üks neist. Täname näpunäite eest.

    Vasta aadressile Mystog @ N
  4.   Hugo DIJO
    tagasi 12 aastat

    Üks kahtlus: kui teil on server, mis asub internetis, kuid iptablesis avate ssh-pordi ainult teatud sisemiste MAC-aadresside jaoks (oletame, et kontorist), jõuaksid ülejäänud siseaadressidelt pääsemise katsed autentimislogi ja / või väline? Sest mul on kahtlusi.

    Vasta Hugole
    1.    KZKG ^ Gaara DIJO
      tagasi 12 aastat

      Logis on salvestatud ainult tulemüüri lubatud taotlused, kuid süsteem on sellisena tagasi lükanud või heaks kiitnud (pean silmas sisselogimist).
      Kui tulemüür ei luba SSH-päringuid edastada, ei jõua logisse midagi.

      Seda ma pole proovinud, aga tule nüüd ... Ma arvan, et see peab olema selline 😀

      Vasta KZKG ^ Gaarale
  5.   Kisama DIJO
    tagasi 10 aastat

    grep -i nurjus /var/log/auth.log | awk '{print $ 2 «-» $ 1 »» $ 3 «\ t KASUTAJA:» $ 9 «\ t FROM:» $ 11}'
    rgrep -i nurjus / var / log / (laiendab kaustu) | awk '{print $ 2 «-» $ 1 »» $ 3 «\ t KASUTAJA:» $ 9 «\ t FROM:» $ 11}'

    Vasta Brayle
    1.    Kisama DIJO
      tagasi 10 aastat

      sentides-redhatis ... jne jne ...
      / var / log / turvaline

      Vasta Brayle