Nedolgo nazaj sem razložil kako vedeti, katere IP-je je povezal SSH, ampak ... kaj pa če uporabniško ime ali geslo nista bila pravilna in se nista povezala?
Z drugimi besedami, če kdo poskuša uganiti, kako dostopati do našega računalnika ali strežnika prek SSH, to res moramo vedeti ali ne?
Za to bomo izvedli enak postopek kot v prejšnji objavi, filtrirali bomo dnevnik preverjanja pristnosti, vendar tokrat z drugačnim filtrom:
cat /var/log/auth* | grep Failed
Pustim posnetek zaslona, kako izgleda:
Kot vidite, mi prikazuje mesec, dan in uro vsakega neuspešnega poskusa, pa tudi uporabnika, s katerim je poskušal vstopiti, in IP, s katerega je poskušal dostopati.
Ampak to je mogoče še malo urediti, bomo uporabili vau da nekoliko izboljšate rezultat:
cat /var/log/auth* | grep Failed | awk '{print $2 "-" $1 " " $3 "\t USUARIO: " $9 "\t DESDE: " $11}'
Tu vidimo, kako bi bilo videti:
V tej vrstici, ki sem vam jo pravkar pokazal, si ne smete zapomniti vseh, lahko ustvarite alias zanjo je rezultat enak kot pri prvi vrstici, le malo bolj organiziran.
To vem, da mnogim ne bo koristilo, toda za tiste, ki upravljamo s strežniki, vem, da nam bo pokazalo nekaj zanimivih podatkov hehe.
pozdrav
Zelo dobra uporaba cevi
pozdrav
Hvala
Odlično 2 post
Vedno sem uporabljal prvega, ker awk-a ne poznam, vendar se ga bom moral naučiti
cat / var / log / auth * | grep ni uspel
Tu, kjer delam, na Fakulteti za matematiko-računalništvo Univ de Oriente na Kubi imamo tovarno "malih hekerjev", ki si nenehno izmišljajo stvari, ki jih ne bi smeli in moram biti z 8 očmi. Tema ssh je ena izmed njih. Hvala za tip tip.
Eno vprašanje: če ima strežnik obrnjen proti internetu, vendar v iptables odpre vrata ssh samo za določene notranje naslove MAC (recimo iz pisarne), bi poskusi dostopa s preostalih notranjih naslovov prišli do dnevnika preverjanja pristnosti in / ali zunanji? Ker dvomim.
V dnevniku se shranijo le zahteve, ki jih dovoli požarni zid, vendar jih sistem kot take zavrne ali odobri (mislim na prijavo).
Če požarni zid ne dovoli prenosa zahtev SSH, do dnevnika ne bo prišlo nič.
Tega nisem poskusil, ampak daj no ... Mislim, da mora biti tako 😀
grep -i ni uspel /var/log/auth.log | awk '{print $ 2 «-» $ 1 »» $ 3 «\ t UPORABNIK:» $ 9 «\ t OD:» $ 11}'
rgrep -i ni uspel / var / log / (prijavlja mape) | awk '{print $ 2 «-» $ 1 »» $ 3 «\ t UPORABNIK:» $ 9 «\ t OD:» $ 11}'
v centos-redhat ... .. itd ......
/ var / log / varno