Mitte kaua aega tagasi seletasin kuidas teada saada, milliseid IP-sid on SSH ühendanud, aga ... mis siis, kui kasutajanimi või parool oli vale ja nad ei saanud ühendust?
Teisisõnu, kui keegi üritab arvata, kuidas SSH kaudu meie arvutisse või serverisse pääseda, siis peame seda tõesti teadma?
Selleks teeme sama protseduuri nagu eelmises postituses, filtreerime autentimislogi, kuid seekord teise filtriga:
cat /var/log/auth* | grep Failed
Jätan ekraanipildi selle välimusest:
Nagu näete, näitab see mulle iga ebaõnnestunud katse kuud, päeva ja kellaaega, samuti kasutajat, kellega nad proovisid sisestada, ja IP-d, kust nad proovisid juurde pääseda.
Kuid seda saab natuke rohkem korraldada, me kasutame awk tulemuse natuke parandamiseks:
cat /var/log/auth* | grep Failed | awk '{print $2 "-" $1 " " $3 "\t USUARIO: " $9 "\t DESDE: " $11}'
Siin näeme, kuidas see välja näeks:
Seda rida, mida ma teile just näitasin, ei tohiks seda kõike pähe õppida, saate luua a alias tema jaoks on tulemus sama, mis esimese rea puhul, lihtsalt veidi organiseeritum.
See, mida ma tean, pole paljudele kasulik, kuid meie jaoks, kes haldame servereid, tean, et see näitab meile huvitavaid andmeid hehe.
seoses
Torude väga hea kasutamine
seoses
Aitäh
Suurepärane 2 postitus
Ma kasutasin alati esimest, sest ma ei tea awk-d, kuid ma pean selle õppima
kass / var / log / auth * | grep nurjus
Siin, kus ma töötan, Kuuba Univ de Oriente matemaatikateaduskonnas on meil tehas "väikestest häkkeritest", kes leiutavad pidevalt asju, mida nad ei peaks ja ma pean olema 8 silmaga. Ssh teema on üks neist. Täname näpunäite eest.
Üks kahtlus: kui teil on server, mis asub internetis, kuid iptablesis avate ssh-pordi ainult teatud sisemiste MAC-aadresside jaoks (oletame, et kontorist), jõuaksid ülejäänud siseaadressidelt pääsemise katsed autentimislogi ja / või väline? Sest mul on kahtlusi.
Logis on salvestatud ainult tulemüüri lubatud taotlused, kuid süsteem on sellisena tagasi lükanud või heaks kiitnud (pean silmas sisselogimist).
Kui tulemüür ei luba SSH-päringuid edastada, ei jõua logisse midagi.
Seda ma pole proovinud, aga tule nüüd ... Ma arvan, et see peab olema selline 😀
grep -i nurjus /var/log/auth.log | awk '{print $ 2 «-» $ 1 »» $ 3 «\ t KASUTAJA:» $ 9 «\ t FROM:» $ 11}'
rgrep -i nurjus / var / log / (laiendab kaustu) | awk '{print $ 2 «-» $ 1 »» $ 3 «\ t KASUTAJA:» $ 9 «\ t FROM:» $ 11}'
sentides-redhatis ... jne jne ...
/ var / log / turvaline