ไม่นานมานี้ฉันได้อธิบาย จะรู้ได้อย่างไรว่า SSH เชื่อมต่อกับ IP ใดแต่ ... จะเกิดอะไรขึ้นหากชื่อผู้ใช้หรือรหัสผ่านไม่ถูกต้องและไม่ได้เชื่อมต่อ?
กล่าวอีกนัยหนึ่งถ้ามีคนพยายามเดาวิธีเข้าถึงคอมพิวเตอร์หรือเซิร์ฟเวอร์ของเราผ่าน SSH เราจำเป็นต้องรู้จริง ๆ ใช่ไหม?
สำหรับสิ่งนั้นเราจะทำตามขั้นตอนเดียวกันกับในโพสต์ก่อนหน้าเราจะกรองบันทึกการตรวจสอบสิทธิ์ แต่คราวนี้ด้วยตัวกรองที่แตกต่างกัน:
cat /var/log/auth* | grep Failed
ฉันทิ้งภาพหน้าจอไว้ว่ามีลักษณะอย่างไร:
อย่างที่คุณเห็นมันแสดงให้ฉันเห็นเดือนวันและเวลาของความพยายามที่ล้มเหลวแต่ละครั้งตลอดจนผู้ใช้ที่พยายามป้อนและ IP ที่พวกเขาพยายามเข้าถึง
แต่สามารถจัดได้อีกเล็กน้อยเราจะใช้ awk เพื่อปรับปรุงผลลัพธ์เล็กน้อย:
cat /var/log/auth* | grep Failed | awk '{print $2 "-" $1 " " $3 "\t USUARIO: " $9 "\t DESDE: " $11}'
เรามาดูกันว่าจะเป็นอย่างไร:
บรรทัดนี้ที่ฉันเพิ่งแสดงให้คุณเห็นว่าคุณไม่ควรจดจำทั้งหมดคุณสามารถสร้างไฟล์ นามแฝง สำหรับเธอผลลัพธ์ก็เหมือนกับบรรทัดแรกเพียงแค่จัดระเบียบอีกเล็กน้อย
สิ่งนี้ฉันรู้ว่าจะไม่เป็นประโยชน์สำหรับหลาย ๆ คน แต่สำหรับพวกเราที่จัดการเซิร์ฟเวอร์ฉันรู้ว่ามันจะแสดงข้อมูลที่น่าสนใจให้เราได้ฮิฮิ
ความนับถือ
ใช้ท่อได้ดีมาก
ความนับถือ
ขอขอบคุณ
ยอดเยี่ยม 2 โพสต์
ฉันใช้อันแรกเสมอเพราะฉันไม่รู้จัก awk แต่ฉันจะต้องเรียนรู้มัน
cat / var / log / auth * | grep ล้มเหลว
ที่นี่ที่ซึ่งฉันทำงานอยู่ที่คณะคณิตศาสตร์ - คอมพิวเตอร์ที่ Univ de Oriente ในคิวบาเรามีโรงงานของ "แฮ็กเกอร์ตัวน้อย" ที่คอยคิดค้นสิ่งที่ไม่ควรทำอยู่ตลอดเวลาและฉันต้องอยู่กับ 8 ตา ธีม ssh เป็นหนึ่งในนั้น ขอบคุณสำหรับคำแนะนำ
คำถามหนึ่ง: หากมีเซิร์ฟเวอร์ที่หันเข้าหาอินเทอร์เน็ต แต่ใน iptables จะเปิดพอร์ต ssh สำหรับที่อยู่ MAC ภายในบางรายการเท่านั้น (สมมติว่ามาจากสำนักงาน) การพยายามเข้าถึงจากที่อยู่ภายในที่เหลือจะเข้าถึงบันทึกการตรวจสอบสิทธิ์และ / หรือภายนอก? เพราะฉันมีข้อสงสัย
ในบันทึกสิ่งที่บันทึกเป็นเพียงคำขอที่อนุญาตโดยไฟร์วอลล์ แต่ระบบปฏิเสธหรืออนุมัติเช่นนี้ (ฉันหมายถึงการเข้าสู่ระบบ)
หากไฟร์วอลล์ไม่อนุญาตให้ส่งคำขอ SSH จะไม่มีสิ่งใดไปถึงบันทึก
นี่ฉันยังไม่ได้ลอง แต่มาเถอะ ... ฉันคิดว่ามันต้องเป็นแบบนี้😀
grep -i ล้มเหลว /var/log/auth.log | awk '{พิมพ์ $ 2 « - » $ 1 »» $ 3 « \ t USER: » $ 9 « \ t จาก: » $ 11}'
rgrep -i ล้มเหลว / var / log / (โฟลเดอร์ logrotates) | awk '{พิมพ์ $ 2 « - » $ 1 »» $ 3 « \ t USER: » $ 9 « \ t จาก: » $ 11}'
ใน centos-redhat … .. ฯลฯ ……
/ var / log / ปลอดภัย