Nem rég magyaráztam hogyan lehet tudni, hogy mely IP-ket kapcsolta össze az SSH, de ... mi van, ha a felhasználónév vagy a jelszó helytelen volt, és nem csatlakoztak?
Más szóval, ha valaki megpróbálja kitalálni, hogyan juthatunk el számítógépünkhöz vagy szerverünkhöz SSH-val, akkor valóban tudnunk kell, vagy sem?
Ehhez ugyanazt az eljárást fogjuk megtenni, mint az előző bejegyzésben, szűrjük a hitelesítési naplót, de ezúttal egy másik szűrővel:
cat /var/log/auth* | grep Failed
Hagyok egy képernyőképet a külsejéről:
Amint láthatja, megmutatja nekem az egyes sikertelen kísérletek hónapját, napját és idejét, valamint azt a felhasználót, akivel megpróbáltak belépni, és azt az IP-t, amelyből megpróbáltak hozzáférni.
De ezt még egy kicsit el lehet intézni, használjuk awk hogy kicsit javítson az eredményen:
cat /var/log/auth* | grep Failed | awk '{print $2 "-" $1 " " $3 "\t USUARIO: " $9 "\t DESDE: " $11}'
Itt láthatjuk, hogy nézne ki:
Ezt a sort, amelyet most megmutattam neked, nem szabad fejből megjegyezni, létrehozhatsz egy álnév számára az eredmény egyébként megegyezik az első vonallal, csak kicsit szervezettebb.
Ez tudom, hogy sokak számára nem lesz hasznos, de a kiszolgálókat kezelők számára tudom, hogy érdekes adatokat fog mutatni nekünk hehe.
Üdvözlet
Nagyon jó a csövek használata
Üdvözlet
Köszönöm
Kiváló a 2 poszt
Mindig az elsőt használtam, mert nem ismerem az awk-t, de muszáj lesz megtanulnom
cat / var / log / auth * | grep sikertelen
Itt, ahol dolgozom, a kubai Univ de Oriente Matematika-Számítástechnikai Karán van egy "kis hackerek" gyára, akik folyamatosan olyan dolgokat találnak ki, amiknek nem kellene, és nekem 8 szemmel kell lennem. Az ssh téma az egyik. Köszönöm a tipp haver.
Egy kétség: ha van egy szervere, amely az internet felé néz, de az iptables-ben az ssh portot csak bizonyos belső MAC címeknél nyitja meg (mondjuk egy irodától), akkor a többi belső cím hozzáférési kísérlete eléri a hitelesítési naplót, és / vagy külső? Mert kétségeim vannak.
A naplóban csak a tűzfal által engedélyezett kérések vannak mentve, de a rendszer megtagadja vagy jóváhagyja őket (mármint a bejelentkezést).
Ha a tűzfal nem engedi átadni az SSH-kérelmeket, semmi sem éri el a naplót.
Ezt nem próbáltam meg, de gyerünk ... szerintem ennek így kell lennie 😀
grep -i nem sikerült /var/log/auth.log | awk '{print $ 2 «-» $ 1 »» $ 3 «\ t FELHASZNÁLÓ:» $ 9 «\ t FROM:» $ 11}'
rgrep -i sikertelen / var / log / (mappákat váltogat) | awk '{print $ 2 «-» $ 1 »» $ 3 «\ t FELHASZNÁLÓ:» $ 9 «\ t FROM:» $ 11}'
centos-redhatban ... .. stb.
/ var / log / biztonságos