Belum lama ini saya menjelaskan bagaimana mengetahui IP mana yang telah dihubungkan oleh SSH, tapi ... bagaimana jika nama pengguna atau kata sandi salah dan tidak terhubung?
Dengan kata lain, jika ada seseorang yang mencoba menebak bagaimana cara mengakses komputer atau server kita melalui SSH, kita benar-benar perlu mengetahuinya bukan?
Untuk itu kami akan melakukan prosedur yang sama seperti pada posting sebelumnya, kami akan memfilter log otentikasi tetapi kali ini, dengan filter yang berbeda:
cat /var/log/auth* | grep Failed
Saya meninggalkan tangkapan layar tentang tampilannya:
Seperti yang Anda lihat, ini menunjukkan kepada saya bulan, hari dan waktu setiap upaya yang gagal, serta pengguna yang mereka coba masuki dan IP yang mereka coba akses.
Tapi ini bisa diatur lebih banyak, kita akan gunakan Wow untuk sedikit meningkatkan hasil:
cat /var/log/auth* | grep Failed | awk '{print $2 "-" $1 " " $3 "\t USUARIO: " $9 "\t DESDE: " $11}'
Di sini kita melihat tampilannya:
Baris yang baru saja saya tunjukkan ini tidak boleh menghafal semuanya, Anda dapat membuat file alias Baginya, hasilnya sama dengan baris pertama, hanya sedikit lebih teratur.
Ini yang saya tahu tidak akan berguna bagi banyak orang, tetapi bagi kita yang mengelola server saya tahu bahwa itu akan menunjukkan kepada kita beberapa data menarik hehe.
salam
Penggunaan pipa yang sangat baik
salam
Terima kasih
Sempurnakan 2 pos
Saya selalu menggunakan yang pertama, karena saya tidak tahu awk, tapi saya harus mempelajarinya
cat / var / log / auth * | grep Gagal
Di sini tempat saya bekerja, di Fakultas Matematika-Komputasi Univ de Oriente di Kuba, kami memiliki pabrik "peretas kecil", yang terus-menerus menciptakan hal-hal yang seharusnya tidak boleh mereka lakukan dan saya harus bermata 8. Tema ssh adalah salah satunya. Terima kasih atas tipnya.
Satu keraguan: jika seseorang memiliki server yang menghadap ke internet tetapi di iptables seseorang membuka port ssh hanya untuk alamat MAC internal tertentu (katakanlah untuk kantor), upaya akses dari alamat internal lainnya akan mencapai log otentikasi dan / atau luar? Karena saya memiliki keraguan.
Dalam log yang disimpan hanyalah permintaan yang diizinkan oleh firewall, tetapi ditolak atau disetujui oleh sistem seperti itu (maksud saya login).
Jika firewall tidak mengizinkan penerusan permintaan SSH, tidak ada yang akan mencapai log.
Ini saya belum mencoba, tapi ayolah ... Saya pikir pasti seperti ini 😀
grep -i gagal /var/log/auth.log | awk '{print $ 2 «-» $ 1 »» $ 3 «\ t PENGGUNA:» $ 9 «\ t DARI:» $ 11}'
rgrep -i gagal / var / log / (folder logrotates) | awk '{print $ 2 «-» $ 1 »» $ 3 «\ t PENGGUNA:» $ 9 «\ t DARI:» $ 11}'
di centos-redhat… ..dll ……
/ var / log / secure