For ikke lenge siden forklarte jeg hvordan vite hvilke IP-er som er koblet til av SSH, men ... hva om brukernavnet eller passordet var feil og de ikke koblet seg sammen?
Med andre ord, hvis det er noen som prøver å gjette hvordan vi får tilgang til datamaskinen eller serveren vår via SSH, trenger vi virkelig å vite, eller ikke?
For det vil vi gjøre samme prosedyre som i forrige innlegg, vi filtrerer godkjenningsloggen, men denne gangen med et annet filter:
cat /var/log/auth* | grep Failed
Jeg legger igjen et skjermbilde av hvordan det ser ut:
Som du kan se, viser det meg måned, dag og klokkeslett for hvert mislykkede forsøk, samt brukeren de prøvde å gå inn med og IP-en som de prøvde å få tilgang til.
Men dette kan ordnes litt mer, vil vi bruke awk for å forbedre resultatet litt:
cat /var/log/auth* | grep Failed | awk '{print $2 "-" $1 " " $3 "\t USUARIO: " $9 "\t DESDE: " $11}'
Her ser vi hvordan det vil se ut:
Denne linjen som jeg nettopp viste deg, bør ikke huskes, du kan lage en alias for henne er resultatet det samme som med første linje, bare litt mer organisert.
Dette vet jeg ikke vil være nyttig for mange, men for de av oss som administrerer servere vet jeg at det vil vise oss noen interessante data hehe.
Hilsen
Meget god bruk av rør
Hilsen
Takk
Utmerket 2-innlegget
Jeg brukte alltid den første, fordi jeg ikke vet noe, men jeg må lære meg det
cat / var / log / auth * | grep mislyktes
Her hvor jeg jobber, ved fakultetet for matematikk-databehandling ved Univ de Oriente på Cuba, har vi en fabrikk med "små hackere" som hele tiden oppfinner ting som de ikke burde, og jeg må være med 8 øyne. Ssh-temaet er en av dem. Takk for tipset fyren.
Ett spørsmål: hvis man har en server som vender mot internett, men i iptables, åpner man ssh-porten bare for visse interne MAC-adresser (la oss si fra et kontor), tilgangsforsøk fra resten av de interne adressene vil nå autentiseringsloggen og / eller utvendig? Fordi jeg er i tvil.
I loggen er det lagret bare forespørslene som er tillatt av brannmuren, men nektet eller godkjent av systemet som sådan (jeg mener påloggingen).
Hvis brannmuren ikke tillater SSH-forespørsler å passere, kommer ingenting til loggen.
Dette har jeg ikke prøvd, men kom igjen ... Jeg tror det må være slik 😀
grep -i mislyktes /var/log/auth.log | awk '{print $ 2 «-» $ 1 »» $ 3 «\ t BRUKER:» $ 9 «\ t FRA:» $ 11}'
rgrep -i mislyktes / var / log / (logrotates mapper) | awk '{print $ 2 «-» $ 1 »» $ 3 «\ t BRUKER:» $ 9 «\ t FRA:» $ 11}'
i centos-redhat… ..etc ……
/ var / logg / sikker