얼마 전에 나는 설명했다 SSH로 연결된 IP를 확인하는 방법,하지만 ... 사용자 이름 또는 비밀번호가 올바르지 않고 연결되지 않은 경우 어떻게됩니까?
즉, SSH를 통해 우리 컴퓨터 나 서버에 액세스하는 방법을 추측하려는 사람이 있다면 정말 알아야합니다.
이를 위해 이전 게시물과 동일한 절차를 수행하고 인증 로그를 필터링하지만 이번에는 다른 필터를 사용합니다.
cat /var/log/auth* | grep Failed
위의 명령을 다음과 같이 실행해야합니다. 뿌리또는 sudo는 관리 권한으로 수행합니다.
어떻게 보이는지 스크린 샷을 남깁니다.
보시다시피 실패한 각 시도의 월, 일 및 시간과 입력을 시도한 사용자 및 액세스를 시도한 IP를 보여줍니다.
그러나 이것은 조금 더 배열 할 수 있습니다. AWK 결과를 조금 개선하려면 :
cat /var/log/auth* | grep Failed | awk '{print $2 "-" $1 " " $3 "\t USUARIO: " $9 "\t DESDE: " $11}'
위는 한 줄입니다.
여기에서 어떻게 보이는지 볼 수 있습니다.
방금 보여 드린이 대사는 모두 외워서는 안됩니다. 별명 그녀에게 결과는 첫 번째 줄과 동일하며 조금 더 체계적입니다.
이것은 많은 사람들이 유용하다고 생각하지 않지만 서버를 관리하는 사람들에게는 흥미로운 데이터를 보여줄 것임을 알고 있습니다.
안부
파이프의 아주 좋은 사용
안부
고마워.
2 게시물 우수
나는 항상 첫 번째를 사용했습니다. 나는 awk를 모르기 때문에 그것을 배워야 할 것입니다.
cat / var / log / auth * | grep 실패
제가 일하고있는 이곳 쿠바 오리 엔테 대학교의 수학 컴퓨팅 학부에서, 우리는 그들이하지 말아야 할 것들을 끊임없이 발명하고있는 "작은 해커들"의 공장을 가지고 있고 저는 8 개의 눈을 가지고 있어야합니다. ssh 테마는 그중 하나입니다. 팁 친구 감사합니다.
한 가지 질문 : 인터넷에 연결된 서버가 있지만 iptables에서는 특정 내부 MAC 주소 (사무실에서)에 대해서만 ssh 포트를 열면 나머지 내부 주소의 액세스 시도가 인증 로그 및 / 또는 외부? 내 의심이 있기 때문에.
로그에 저장되는 것은 방화벽에서 허용하는 요청 뿐이지 만 시스템에서 거부하거나 승인 한 것입니다 (로그인을 의미합니다).
방화벽이 SSH 요청의 통과를 허용하지 않으면 아무것도 로그에 도달하지 않습니다.
시도 해본 적은 없지만 어서 ... 이럴 것 같아 😀
grep -i 실패 /var/log/auth.log | awk '{print $ 2«-»$ 1»»$ 3«\ t USER :»$ 9«\ t FROM :»$ 11}'
rgrep -i 실패 / var / log / (폴더 로그 회전) | awk '{print $ 2«-»$ 1»»$ 3«\ t USER :»$ 9«\ t FROM :»$ 11}'
centos-redhat에서… ..etc ……
/ var / log / secure