Tidak lama dahulu saya menerangkan bagaimana mengetahui IP mana yang telah dihubungkan oleh SSH, tetapi ... bagaimana jika nama pengguna atau kata laluan tidak betul dan tidak tersambung?
Dengan kata lain, jika ada yang cuba meneka cara mengakses komputer atau pelayan kita melalui SSH, kita benar-benar perlu tahu, bukan?
Untuk itu kami akan melakukan prosedur yang sama seperti pada catatan sebelumnya, kami akan menyaring log pengesahan tetapi kali ini, dengan penapis yang berbeza:
cat /var/log/auth* | grep Failed
Saya meninggalkan tangkapan skrin bagaimana ia kelihatan:
Seperti yang anda lihat, ini menunjukkan bulan, hari dan waktu setiap percubaan yang gagal, serta pengguna yang mereka coba masukkan dan IP dari mana mereka cuba mengakses.
Tetapi ini boleh diatur sedikit lagi, kita akan gunakan awk untuk meningkatkan hasilnya sedikit:
cat /var/log/auth* | grep Failed | awk '{print $2 "-" $1 " " $3 "\t USUARIO: " $9 "\t DESDE: " $11}'
Di sini kita melihat bagaimana rupanya:
Baris ini yang baru saya tunjukkan tidak boleh menghafal semuanya, anda boleh membuat a alias baginya, hasilnya sama seperti pada baris pertama, sedikit lebih teratur.
Ini saya tahu tidak akan berguna bagi banyak orang, tetapi bagi kita yang menguruskan pelayan saya tahu bahawa ia akan menunjukkan kepada kita beberapa data menarik hehe.
salam
Penggunaan paip yang sangat baik
salam
Terima kasih
Cemerlang 2 jawatan
Saya selalu menggunakan yang pertama, kerana saya tidak tahu awk, tetapi saya mesti mempelajarinya
cat / var / log / auth * | grep Gagal
Di sini tempat saya bekerja, di Fakulti Matematik-Pengkomputeran di Univ de Oriente di Cuba, kami mempunyai sebuah kilang "penggodam kecil" yang sentiasa mencipta perkara yang tidak sepatutnya dan saya harus mempunyai 8 mata. Tema ssh adalah salah satunya. Terima kasih atas tip kawan.
Satu soalan: jika seseorang mempunyai pelayan yang menghadap internet tetapi di iptables seseorang membuka port ssh hanya untuk alamat MAC dalaman tertentu (katakanlah dari pejabat), percubaan akses dari alamat dalaman yang lain akan sampai ke log pengesahan dan / atau luaran? Kerana saya mempunyai keraguan saya.
Dalam log yang disimpan hanyalah permintaan yang dibenarkan oleh firewall, tetapi ditolak atau disetujui oleh sistem seperti itu (maksud saya log masuk).
Sekiranya firewall tidak membenarkan permintaan SSH berlalu, tidak ada yang akan sampai ke log.
Ini saya belum mencuba, tapi ayuh ... saya rasa mesti seperti ini 😀
grep -i gagal /var/log/auth.log | awk '{print $ 2 «-» $ 1 »» $ 3 «\ t PENGGUNA:» $ 9 «\ t DARI:» $ 11}'
rgrep -i gagal / var / log / (folder logrotates) | awk '{print $ 2 «-» $ 1 »» $ 3 «\ t PENGGUNA:» $ 9 «\ t DARI:» $ 11}'
dalam centos-redhat… .. dll ……
/ var / log / selamat