För inte så länge sedan förklarade jag hur man vet vilka IP-adresser som har anslutits av SSH, men ... tänk om användarnamnet eller lösenordet var felaktigt och de inte anslöt?
Med andra ord, om det finns någon som försöker gissa hur man kommer åt vår dator eller server via SSH, behöver vi verkligen veta eller inte?
För det kommer vi att göra samma procedur som i föregående inlägg, vi filtrerar autentiseringsloggen men den här gången med ett annat filter:
cat /var/log/auth* | grep Failed
Jag lämnar en skärmdump av hur den ser ut:
Som du kan se visar det mig månad, dag och tid för varje misslyckat försök, liksom användaren som de försökte gå in med och IP-adressen från vilken de försökte komma åt.
Men detta kan ordnas lite mer, vi kommer att använda awk för att förbättra resultatet lite:
cat /var/log/auth* | grep Failed | awk '{print $2 "-" $1 " " $3 "\t USUARIO: " $9 "\t DESDE: " $11}'
Här ser vi hur det skulle se ut:
Den här raden som jag just visade för dig borde inte lagras i minnet, du kan skapa en alias för henne är resultatet detsamma som med första raden, bara lite mer organiserad.
Detta vet jag inte kommer att vara användbart för många, men för de av oss som hanterar servrar vet jag att det kommer att visa oss några intressanta data hehe.
hälsningar
Mycket bra användning av rör
hälsningar
Tack
Utmärkt 2-inlägget
Jag använde alltid den första, för jag känner inte ok, men jag måste lära mig det
cat / var / log / auth * | grep misslyckades
Här där jag arbetar, vid fakulteten för matematik-databehandling vid Univ de Oriente på Kuba, har vi en fabrik av "små hackare" som ständigt uppfinner saker som de inte borde och jag måste vara med 8 ögon. Ssh-temat är en av dem. Tack för tipset killen.
En fråga: om man har en server mot internet men i iptables öppnar man ssh-porten endast för vissa interna MAC-adresser (låt oss säga från ett kontor), åtkomstförsök från resten av de interna adresserna når autentiseringsloggen och / eller externt? Eftersom jag tvivlar.
I loggen sparas bara de begäranden som tillåts av brandväggen, men nekas eller godkänns av systemet som sådant (jag menar inloggningen).
Om brandväggen inte tillåter SSH-förfrågningar att passera kommer ingenting att nå loggen.
Detta har jag inte försökt, men kom igen ... Jag tror att det måste vara så här 😀
grep -i misslyckades /var/log/auth.log | awk '{skriv ut $ 2 «-» $ 1 »» $ 3 «\ t ANVÄNDARE:» $ 9 «\ t FRÅN:» $ 11}'
rgrep -i misslyckades / var / log / (logrotates mappar) | awk '{skriv ut $ 2 «-» $ 1 »» $ 3 «\ t ANVÄNDARE:» $ 9 «\ t FRÅN:» $ 11}'
i centos-redhat ... ..etc ……
/ Var / log / säkra