Nedávno som to vysvetlil ako zistiť, ktoré adresy IP boli spojené pomocou SSH, ale ... čo ak bolo používateľské meno alebo heslo nesprávne a nepripojili sa?
Inými slovami, ak sa niekto pokúša uhádnuť, ako získať prístup k nášmu počítaču alebo serveru prostredníctvom protokolu SSH, musíme to skutočne vedieť, alebo nie?
Za týmto účelom urobíme rovnaký postup ako v predchádzajúcom príspevku, vyfiltrujeme autentifikačný protokol, ale tentokrát s iným filtrom:
cat /var/log/auth* | grep Failed
Nechávam screenshot toho, ako to vyzerá:
Ako vidíte, zobrazuje mi mesiac, deň a čas každého neúspešného pokusu, ako aj používateľa, s ktorým sa pokúšali zadať, a adresu IP, z ktorej sa pokúšali získať prístup.
Ale toto sa dá zariadiť trochu viac, použijeme Wow trochu vylepšiť výsledok:
cat /var/log/auth* | grep Failed | awk '{print $2 "-" $1 " " $3 "\t USUARIO: " $9 "\t DESDE: " $11}'
Tu vidíme, ako by to vyzeralo:
Tento riadok, ktorý som vám práve ukázal, by si nemal všetko pamätať, môžete vytvoriť a prezývka pre ňu je však výsledok rovnaký ako pri prvom riadku, len o niečo organizovanejší.
Viem, že len málokto to bude považovať za užitočné, ale pre tých z nás, ktorí spravujú servery, viem, že nám ukáže niekoľko zaujímavých údajov.
pozdravy
Veľmi dobré použitie rúr
pozdravy
Ďakujem vám
Vynikajúci 2 príspevok
Vždy som použil prvý, pretože neviem awk, ale budem sa to musieť naučiť
mačka / var / log / auth * | grep zlyhal
Tu, kde pracujem, na Fakulte matematiky a výpočtov na Univ de Oriente na Kube máme továreň na „malých hackerov“, ktorí neustále vymýšľajú veci, ktoré by nemali a ja musím byť s 8 očami. Téma ssh je jednou z nich. Ďakujem za tip vole.
Jedna pochybnosť: ak má server smerujúci k internetu, ale v iptables otvorí ssh port iba pre určité interné MAC adresy (povedzme z kancelárie), pokusy o prístup zo zvyšku interných adries by sa dostali do autentifikačného protokolu a / alebo externé? Pretože mám svoje pochybnosti.
V protokole sa ukladajú iba požiadavky povolené firewallom, ktoré však systém ako taký zamietol alebo schválil (mám na mysli prihlásenie).
Ak brána firewall neumožňuje splnenie požiadaviek SSH, do protokolu sa nedostane nič.
Toto som neskúšal, ale poď ... Myslím, že to musí byť takto 😀
grep -i zlyhalo /var/log/auth.log | awk '{print $ 2 «-» $ 1 »» $ 3 «\ t UŽÍVATEĽ:» $ 9 «\ t OD:» $ 11}'
rgrep -i zlyhalo / var / log / (logrotuje priečinky) | awk '{print $ 2 «-» $ 1 »» $ 3 «\ t UŽÍVATEĽ:» $ 9 «\ t OD:» $ 11}'
v centos-redhat ... .. atď ...
/ Var / log / bezpečné