サーバーで失敗したSSHの試行を知る方法

少し前に説明しました SSHで接続されているIPを知る方法、しかし...ユーザー名またはパスワードが正しくなく、接続されなかった場合はどうなりますか?

言い換えれば、SSH経由でコンピューターまたはサーバーにアクセスする方法を推測しようとしている人がいる場合、私たちは本当に知る必要があるかどうかを知る必要がありますか?

そのために、前の投稿と同じ手順を実行し、認証ログをフィルタリングしますが、今回は別のフィルターを使用します。

cat /var/log/auth* | grep Failed

上記のコマンドを次のように実行する必要があります ルート、または sudo 管理者権限でそれを行う。

私はそれがどのように見えるかのスクリーンショットを残します:

ご覧のとおり、失敗した各試行の月、日、時刻、入力を試みたユーザー、アクセスを試みたIPが表示されます。

しかし、これはもう少しアレンジすることができます、私たちは使用します awk 結果を少し改善するには:

cat /var/log/auth* | grep Failed | awk '{print $2 "-" $1 " " $3 "\t USUARIO: " $9 "\t DESDE: " $11}'

上記はXNUMX行です。

ここでは、それがどのように見えるかを確認します。

私があなたに示したこの行は、すべてを暗記するべきではありません、あなたは作成することができます alias 彼女にとって、結果は最初の行と同じですが、もう少し整理されています。

これは多くの人にとっては役に立たないでしょうが、サーバーを管理している私たちにとっては、興味深いデータが表示されることはわかっています。

よろしく


8コメント、あなたのコメントを残してください

コメントを残す

あなたのメールアドレスが公開されることはありません。 必須フィールドには付いています *

*

*

  1. データの責任者:MiguelÁngelGatón
  2. データの目的:SPAMの制御、コメント管理。
  3. 正当化:あなたの同意
  4. データの伝達:法的義務がある場合を除き、データが第三者に伝達されることはありません。
  5. データストレージ:Occentus Networks(EU)がホストするデータベース
  6. 権利:いつでも情報を制限、回復、削除できます。

  1.   ハックロパー775

    パイプの非常に良い使用

    よろしく

    1.    KZKG ^我愛羅

      ありがとう

  2.   フィクソコン

    優れた2ポスト

  3.   Mystog @ N

    awkがわからないので、いつも最初のものを使用しましたが、それを学ぶ必要があります

    cat / var / log / auth * | grepが失敗しました

    私が働いているここ、キューバのオリエンテ大学の数学-コンピューティング学部には、「小さなハッカー」の工場があり、彼らは常にすべきでないことを発明しており、私は8つの目でいなければなりません。 sshテーマはそのXNUMXつです。 先端の男をありがとう。

  4.   ヒューゴー

    XNUMXつの質問:サーバーがインターネットに面しているが、iptablesで特定の内部MACアドレス(たとえばオフィスから)に対してのみsshポートを開く場合、残りの内部アドレスからのアクセス試行は認証ログに到達するか、または外部? 疑問があるからです。

    1.    KZKG ^我愛羅

      ログに保存されるのは、ファイアウォールによって許可された要求のみですが、システム自体によって拒否または承認されます(つまりログイン)。
      ファイアウォールがSSH要求の通過を許可しない場合、ログには何も到達しません。

      これは試したことはありませんが、さあ...こんな感じに違いないと思います😀

  5.   ブレイ

    grep-iが失敗しました/var/log/auth.log | awk '{print $ 2«-»$ 1»»$ 3«\ tユーザー:»$ 9«\ t FROM:»$ 11}'
    rgrep -i failed / var / log /(logrotates folder)| awk '{print $ 2«-»$ 1»»$ 3«\ tユーザー:»$ 9«\ t FROM:»$ 11}'

    1.    ブレイ

      centos-redhatで…..etc……
      / var / log / secure