כיצד לדעת אילו ניסיונות SSH לא מוצלחים היו לשרת שלנו

לא מזמן הסברתי כיצד לדעת אילו כתובות IP חוברו באמצעות SSH, אבל ... מה אם שם המשתמש או הסיסמה לא היו נכונים והם לא התחברו?

במילים אחרות, אם יש מישהו שמנסה לנחש כיצד לגשת למחשב או לשרת שלנו באמצעות SSH, אנחנו באמת צריכים לדעת, או לא?

לשם כך נעשה את אותו ההליך כמו בהודעה הקודמת, נסנן את יומן האימות אך הפעם, עם מסנן אחר:

cat /var/log/auth* | grep Failed

עליהם להפעיל את הפקודה הנ"ל כמו שורש, או עם sudo לעשות זאת עם הרשאות ניהול.

אני משאיר צילום מסך של איך זה נראה:

כפי שאתה יכול לראות, זה מראה לי את החודש, היום והשעה של כל ניסיון כושל, כמו גם את המשתמש איתו ניסו להיכנס ואת ה- IP ממנו ניסו לגשת.

אבל אפשר לארגן את זה קצת יותר, נשתמש awk כדי לשפר את התוצאה מעט:

cat /var/log/auth* | grep Failed | awk '{print $2 "-" $1 " " $3 "\t USUARIO: " $9 "\t DESDE: " $11}'

האמור לעיל הוא שורה אחת.

הנה נראה איך זה ייראה:

אין לשנן את השורה הזו שרק הראיתי לך, אתה יכול ליצור כינוי מבחינתה, התוצאה זהה לזו עם השורה הראשונה, רק קצת יותר מסודרת.

אני יודע שזה לא יועיל לרבים, אבל לאלו מאיתנו שמנהלים שרתים אני יודע שזה יראה לנו כמה נתונים מעניינים.

לגבי


8 תגובות, השאר את שלך

השאירו את התגובה שלכם

כתובת הדוא"ל שלך לא תפורסם. שדות חובה מסומנים *

*

*

  1. אחראי לנתונים: מיגל אנחל גטון
  2. מטרת הנתונים: בקרת ספאם, ניהול תגובות.
  3. לגיטימציה: הסכמתך
  4. מסירת הנתונים: הנתונים לא יועברו לצדדים שלישיים אלא בהתחייבות חוקית.
  5. אחסון נתונים: מסד נתונים המתארח על ידי Occentus Networks (EU)
  6. זכויות: בכל עת תוכל להגביל, לשחזר ולמחוק את המידע שלך.

  1.   775. רחוב דיג'ו

    שימוש טוב מאוד בצינורות

    לגבי

    1.    KZKG ^ גאארה דיג'ו

      תודה

  2.   FIXOCONN דיג'ו

    מצוין 2 ההודעה

  3.   מיסטוג @ נ דיג'ו

    תמיד השתמשתי בראשון, כי אני לא יודע מה אני יודע, אבל אני אצטרך ללמוד את זה

    חתול / var / log / auth * | grep נכשל

    כאן במקום בו אני עובד, בפקולטה למחשבים במתמטיקה באוניברסיטת אוריינטה בקובה, יש לנו מפעל של "האקרים קטנים" שממציאים כל הזמן דברים שהם לא צריכים ואני צריך להיות עם 8 עיניים. הנושא ssh הוא אחד מהם. תודה על הטיפ אחי.

  4.   הוגו דיג'ו

    שאלה אחת: אם יש שרת הפונה לאינטרנט אך ב- iptables פותחים את יציאת ssh רק לכתובות MAC פנימיות מסוימות (נניח ממשרד), ניסיונות גישה משאר הכתובות הפנימיות יגיעו ליומן האימות ו / או חיצוני? כי יש לי ספקות.

    1.    KZKG ^ גאארה דיג'ו

      ביומן מה שנשמר הוא רק הבקשות המותרות על ידי חומת האש, אך נדחות או מאושרות על ידי המערכת ככזו (כלומר הכניסה).
      אם חומת האש אינה מאפשרת לעבור לבקשות SSH, שום דבר לא יגיע ליומן.

      את זה לא ניסיתי, אבל יאללה ... אני חושב שזה חייב להיות ככה 😀

  5.   לנעור דיג'ו

    grep -i נכשל /var/log/auth.log | awk '{הדפס $ 2 «-» $ 1 »» $ 3 «\ t משתמש:» $ 9 «\ t FROM:» $ 11}'
    rgrep -i נכשל / var / log / (logrotates תיקיות) | awk '{הדפס $ 2 «-» $ 1 »» $ 3 «\ t משתמש:» $ 9 «\ t FROM:» $ 11}'

    1.    לנעור דיג'ו

      ב- centos-redhat ... .. וכו '...
      / var / log / secure