Ei kauan sitten selitin kuinka tietää, mitkä IP: t on yhdistetty SSH: llä, mutta ... entä jos käyttäjänimi tai salasana oli väärä eivätkä muodostaneet yhteyttä?
Toisin sanoen, jos joku yrittää arvata, miten pääsemme tietokoneellemme tai palvelimellemme SSH: n kautta, meidän on todella tiedettävä vai ei?
Tätä varten teemme saman menettelyn kuin edellisessä viestissä, suodatamme todennuslokin, mutta tällä kertaa toisella suodattimella:
cat /var/log/auth* | grep Failed
Jätän kuvakaappauksen miltä se näyttää:
Kuten näette, se näyttää minulle jokaisen epäonnistuneen yrityksen kuukauden, päivän ja kellonajan sekä käyttäjän, jonka kanssa he yrittivät syöttää, ja IP-osoitteen, josta he yrittivät käyttää.
Mutta tämä voidaan järjestää hieman enemmän, käytämme awk parantaa tulosta hieman:
cat /var/log/auth* | grep Failed | awk '{print $2 "-" $1 " " $3 "\t USUARIO: " $9 "\t DESDE: " $11}'
Täällä näemme miltä se näyttää:
Tätä juuri osoittamaasi riviä ei pidä muistaa kaikki, voit luoda alias hänelle tulos on sama kuin ensimmäisellä rivillä, vain hieman järjestäytyneempi.
Tästä tiedän, että siitä ei ole hyötyä monille, mutta niille meistä, jotka hallitsevat palvelimia, tiedän, että se näyttää meille mielenkiintoisia tietoja hehe.
terveiset
Erittäin hyvä putkien käyttö
terveiset
Kiitos
Erinomainen 2 viesti
Käytin aina ensimmäistä, koska en tiedä awk: tä, mutta minun on opittava se
cat / var / log / auth * | grep epäonnistui
Täällä, missä työskentelen, Kuuban Univ de Orienten matematiikan laskentatieteellisessä tiedekunnassa, meillä on tehdas "pienistä hakkereista", jotka keksivät jatkuvasti asioita, joita heidän ei pitäisi, ja minun on oltava 8 silmällä. Ssh-teema on yksi niistä. Kiitos kärsimyksestä.
Yksi kysymys: jos palvelimella on Internet-yhteys, mutta iptablesissa ssh-portti avataan vain tietyille sisäisille MAC-osoitteille (sanotaan esimerkiksi toimistosta), muilta sisäisiltä osoitteilta pääsyyritykset saavuttavat todennuslokin ja / tai ulkoinen? Koska minulla on epäilyksiä.
Lokiin tallennetaan vain palomuurin sallimia pyyntöjä, mutta järjestelmä on hylännyt tai hyväksynyt sellaisenaan (tarkoitan kirjautumista).
Jos palomuuri ei salli SSH-pyyntöjen kulkua, lokiin ei pääse mitään.
Tätä en ole kokeillut, mutta tule ... Luulen, että sen on oltava näin 😀
grep -i epäonnistui /var/log/auth.log | awk '{print $ 2 «-» $ 1 »» $ 3 «\ t KÄYTTÄJÄ:» $ 9 «\ t LÄHETTÄJÄ:» $ 11}'
rgrep -i epäonnistui / var / log / (selaa kansioita) | awk '{print $ 2 «-» $ 1 »» $ 3 «\ t KÄYTTÄJÄ:» $ 9 «\ t LÄHETTÄJÄ:» $ 11}'
sentti-redhatissa ... .. jne. ...
/ Var / log / turvallista