Niet lang geleden legde ik het uit hoe te weten welke IP's zijn verbonden via SSH, maar... wat als de gebruikersnaam of het wachtwoord onjuist was en er geen verbinding werd gemaakt?
Ik bedoel, als iemand probeert te achterhalen hoe SSH naar onze computer of server kan, moeten we dat echt weten, toch?
Daarvoor zullen we dezelfde procedure volgen als in het vorige bericht, we zullen het authenticatielogboek filteren, maar deze keer met een ander filter:
cat /var/log/auth* | grep Failed
Ik laat je een screenshot achter van hoe het eruit ziet:
Zoals je kunt zien, toont het me de maand, dag en tijd van elke mislukte poging, evenals de gebruiker waarmee ze probeerden in te loggen en het IP-adres van waaruit ze probeerden in te loggen.
Maar dit kan wel wat meer geregeld worden, daar maken we gebruik van awk om het resultaat iets te verbeteren:
cat /var/log/auth* | grep Failed | awk '{print $2 "-" $1 " " $3 "\t USUARIO: " $9 "\t DESDE: " $11}'
Hier zien we hoe het eruit zou zien:
Deze regel die ik je net heb laten zien, moet je niet allemaal uit je hoofd leren, je kunt een alias voor haar is het resultaat echter hetzelfde als bij de eerste regel, alleen iets overzichtelijker.
Ik weet dat dit voor velen niet nuttig zal zijn, maar voor degenen onder ons die servers beheren, weet ik dat het ons een aantal interessante gegevens zal laten zien hehe.
groeten
Zeer goed gebruik van pijpen
groeten
Bedankt
Uitstekend de 2 berichten
Ik gebruikte altijd de eerste, want ik weet niet awk, maar ik zal het moeten leren
kat /var/log/auth* | grep mislukt
Hier waar ik werk, op de wiskunde-computerfaculteit van de Univ de Oriente in Cuba, hebben we een fabriek van kleine hackers, die constant dingen verzinnen die niet mogen en ik moet met 8 ogen zijn. Het ssh-probleem is er een van. Bedankt voor de tip kerel.
Eén vraag: als iemand een server heeft die naar het internet is gericht, maar in iptables opent men de ssh-poort alleen voor bepaalde interne MAC-adressen (bijvoorbeeld vanuit een kantoor), dan zouden toegangspogingen van de rest van de interne adressen het authenticatielogboek en/of externe ? Omdat ik zo mijn twijfels heb.
In het logboek worden alleen de verzoeken opgeslagen die door de firewall zijn toegestaan, maar die door het systeem als zodanig zijn geweigerd of goedgekeurd (ik bedoel de login).
Als de firewall SSH-verzoeken niet doorlaat, wordt er niets gelogd.
Ik heb dit niet geprobeerd, maar kom op... ik denk dat het zo zou moeten zijn 😀
grep -i mislukt /var/log/auth.log | awk '{print $2 «-» $1 » » $3 «\t GEBRUIKER: » $9 «\t VAN: » $11}'
rgrep -i mislukt /var/log/(logroteert mappen) | awk '{print $2 «-» $1 » » $3 «\t GEBRUIKER: » $9 «\t VAN: » $11}'
in centos-redhat…..etc……
/ Var / log / secure