Pirms neilga laika es paskaidroju kā uzzināt, kurus IP ir savienojis SSH, bet ... kā būtu, ja lietotājvārds vai parole būtu nepareiza un viņi nepieslēgtos?
Citiem vārdiem sakot, ja kāds mēģina uzminēt, kā piekļūt mūsu datoram vai serverim, izmantojot SSH, mums tas tiešām ir jāzina, vai ne?
Šim nolūkam mēs darīsim to pašu procedūru kā iepriekšējā ziņojumā, filtrēsim autentifikācijas žurnālu, bet šoreiz ar citu filtru:
cat /var/log/auth* | grep Failed
Es atstāju ekrānuzņēmumu par tā izskatu:
Kā redzat, tas man parāda katra neveiksmīgā mēģinājuma mēnesi, dienu un laiku, kā arī lietotāju, ar kuru viņi mēģināja ievadīt, un IP, no kura viņi mēģināja piekļūt.
Bet to var noorganizēt mazliet vairāk, mēs to izmantosim awk lai mazliet uzlabotu rezultātu:
cat /var/log/auth* | grep Failed | awk '{print $2 "-" $1 " " $3 "\t USUARIO: " $9 "\t DESDE: " $11}'
Šeit mēs redzam, kā tas izskatītos:
Šo rindu, kuru es tikko parādīju, nevajadzētu atcerēties visu, jūs varat izveidot aizstājvārds viņai rezultāts ir tāds pats kā ar pirmo līniju, tikai nedaudz sakārtotāks.
Tas, ko es zinu, daudziem nebūs noderīgs, bet mums, kas pārvalda serverus, es zinu, ka tas mums parādīs interesantus datus hehe.
Sveicieni
Ļoti labi izmanto caurules
Sveicieni
Paldies
Izcils 2. ieraksts
Es vienmēr izmantoju pirmo, jo es nezinu awk, bet man tas būs jāmācās
cat / var / log / auth * | grep neizdevās
Šeit, kur es strādāju, Matemātikas-skaitļošanas fakultātē Univ de Oriente Kubā, mums ir "mazo hakeru" rūpnīca, kas pastāvīgi izdomā lietas, kurām nevajadzētu, un man jābūt ar 8 acīm. Ssh tēma ir viena no tām. Paldies par padomu puisīti.
Viens jautājums: ja kādam ir serveris, kas atrodas internetā, bet iptables atver ssh portu tikai noteiktām iekšējām MAC adresēm (pieņemsim, ka no biroja), piekļuves mēģinājumi no pārējām iekšējām adresēm sasniegtu autentifikācijas žurnālu un / vai ārējs? Tāpēc, ka man ir šaubas.
Žurnālā tiek saglabāti tikai ugunsmūra atļauti pieprasījumi, bet sistēma tos noraida vai apstiprina (es domāju pieteikšanos).
Ja ugunsmūris neļauj nodot SSH pieprasījumus, nekas nesasniegs žurnālu.
To es neesmu mēģinājis, bet nāc ... es domāju, ka tam jābūt šādam 😀
grep -i neizdevās /var/log/auth.log | awk '{print $ 2 «-» $ 1 »» $ 3 «\ t LIETOTĀJS:» $ 9 «\ t NO:» $ 11}'
rgrep -i neizdevās / var / log / (mapes pārvieto) | awk '{print $ 2 «-» $ 1 »» $ 3 «\ t LIETOTĀJS:» $ 9 «\ t NO:» $ 11}'
centos-redhatā ... .. utt.
/ var / log / Secure