少し前に説明しました SSHで接続されているIPを知る方法、しかし...ユーザー名またはパスワードが正しくなく、接続されなかった場合はどうなりますか?
言い換えれば、SSH経由でコンピューターまたはサーバーにアクセスする方法を推測しようとしている人がいる場合、私たちは本当に知る必要があるかどうかを知る必要がありますか?
そのために、前の投稿と同じ手順を実行し、認証ログをフィルタリングしますが、今回は別のフィルターを使用します。
cat /var/log/auth* | grep Failed
私はそれがどのように見えるかのスクリーンショットを残します:
ご覧のとおり、失敗した各試行の月、日、時刻、入力を試みたユーザー、アクセスを試みたIPが表示されます。
しかし、これはもう少しアレンジすることができます、私たちは使用します awk 結果を少し改善するには:
cat /var/log/auth* | grep Failed | awk '{print $2 "-" $1 " " $3 "\t USUARIO: " $9 "\t DESDE: " $11}'
ここでは、それがどのように見えるかを確認します。
私があなたに示したこの行は、すべてを暗記するべきではありません、あなたは作成することができます alias 彼女にとって、結果は最初の行と同じですが、もう少し整理されています。
これは多くの人にとっては役に立たないでしょうが、サーバーを管理している私たちにとっては、興味深いデータが表示されることはわかっています。
よろしく
パイプの非常に良い使用
よろしく
ありがとう
優れた2ポスト
awkがわからないので、いつも最初のものを使用しましたが、それを学ぶ必要があります
cat / var / log / auth * | grepが失敗しました
私が働いているここ、キューバのオリエンテ大学の数学-コンピューティング学部には、「小さなハッカー」の工場があり、彼らは常にすべきでないことを発明しており、私は8つの目でいなければなりません。 sshテーマはそのXNUMXつです。 先端の男をありがとう。
XNUMXつの質問:サーバーがインターネットに面しているが、iptablesで特定の内部MACアドレス(たとえばオフィスから)に対してのみsshポートを開く場合、残りの内部アドレスからのアクセス試行は認証ログに到達するか、または外部? 疑問があるからです。
ログに保存されるのは、ファイアウォールによって許可された要求のみですが、システム自体によって拒否または承認されます(つまりログイン)。
ファイアウォールがSSH要求の通過を許可しない場合、ログには何も到達しません。
これは試したことはありませんが、さあ...こんな感じに違いないと思います😀
grep-iが失敗しました/var/log/auth.log | awk '{print $ 2«-»$ 1»»$ 3«\ tユーザー:»$ 9«\ t FROM:»$ 11}'
rgrep -i failed / var / log /(logrotates folder)| awk '{print $ 2«-»$ 1»»$ 3«\ tユーザー:»$ 9«\ t FROM:»$ 11}'
centos-redhatで…..etc……
/ var / log / secure