לא מזמן הסברתי כיצד לדעת אילו כתובות IP חוברו באמצעות SSH, אבל ... מה אם שם המשתמש או הסיסמה לא היו נכונים והם לא התחברו?
במילים אחרות, אם יש מישהו שמנסה לנחש כיצד לגשת למחשב או לשרת שלנו באמצעות SSH, אנחנו באמת צריכים לדעת, או לא?
לשם כך נעשה את אותו ההליך כמו בהודעה הקודמת, נסנן את יומן האימות אך הפעם, עם מסנן אחר:
cat /var/log/auth* | grep Failed
אני משאיר צילום מסך של איך זה נראה:
כפי שאתה יכול לראות, זה מראה לי את החודש, היום והשעה של כל ניסיון כושל, כמו גם את המשתמש איתו ניסו להיכנס ואת ה- IP ממנו ניסו לגשת.
אבל אפשר לארגן את זה קצת יותר, נשתמש awk כדי לשפר את התוצאה מעט:
cat /var/log/auth* | grep Failed | awk '{print $2 "-" $1 " " $3 "\t USUARIO: " $9 "\t DESDE: " $11}'
הנה נראה איך זה ייראה:
אין לשנן את השורה הזו שרק הראיתי לך, אתה יכול ליצור כינוי מבחינתה, התוצאה זהה לזו עם השורה הראשונה, רק קצת יותר מסודרת.
אני יודע שזה לא יועיל לרבים, אבל לאלו מאיתנו שמנהלים שרתים אני יודע שזה יראה לנו כמה נתונים מעניינים.
לגבי
שימוש טוב מאוד בצינורות
לגבי
תודה
מצוין 2 ההודעה
תמיד השתמשתי בראשון, כי אני לא יודע מה אני יודע, אבל אני אצטרך ללמוד את זה
חתול / var / log / auth * | grep נכשל
כאן במקום בו אני עובד, בפקולטה למחשבים במתמטיקה באוניברסיטת אוריינטה בקובה, יש לנו מפעל של "האקרים קטנים" שממציאים כל הזמן דברים שהם לא צריכים ואני צריך להיות עם 8 עיניים. הנושא ssh הוא אחד מהם. תודה על הטיפ אחי.
שאלה אחת: אם יש שרת הפונה לאינטרנט אך ב- iptables פותחים את יציאת ssh רק לכתובות MAC פנימיות מסוימות (נניח ממשרד), ניסיונות גישה משאר הכתובות הפנימיות יגיעו ליומן האימות ו / או חיצוני? כי יש לי ספקות.
ביומן מה שנשמר הוא רק הבקשות המותרות על ידי חומת האש, אך נדחות או מאושרות על ידי המערכת ככזו (כלומר הכניסה).
אם חומת האש אינה מאפשרת לעבור לבקשות SSH, שום דבר לא יגיע ליומן.
את זה לא ניסיתי, אבל יאללה ... אני חושב שזה חייב להיות ככה 😀
grep -i נכשל /var/log/auth.log | awk '{הדפס $ 2 «-» $ 1 »» $ 3 «\ t משתמש:» $ 9 «\ t FROM:» $ 11}'
rgrep -i נכשל / var / log / (logrotates תיקיות) | awk '{הדפס $ 2 «-» $ 1 »» $ 3 «\ t משתמש:» $ 9 «\ t FROM:» $ 11}'
ב- centos-redhat ... .. וכו '...
/ var / log / secure