Cách đây không lâu tôi đã giải thích làm thế nào để biết IP nào đã được kết nối bởi SSH, nhưng ... nếu tên người dùng hoặc mật khẩu không chính xác và chúng không kết nối thì sao?
Nói cách khác, nếu có ai đó đang cố gắng đoán cách truy cập vào máy tính hoặc máy chủ của chúng tôi thông qua SSH, chúng tôi thực sự cần biết, phải không?
Đối với điều đó, chúng tôi sẽ thực hiện quy trình tương tự như trong bài trước, chúng tôi sẽ lọc nhật ký xác thực nhưng lần này, với một bộ lọc khác:
cat /var/log/auth* | grep Failed
Tôi để lại ảnh chụp màn hình về cách nó trông như thế nào:
Như bạn có thể thấy, nó hiển thị cho tôi tháng, ngày và thời gian của mỗi lần thử không thành công, cũng như người dùng mà họ đã cố gắng nhập và IP mà họ đã cố gắng truy cập.
Nhưng điều này có thể được sắp xếp nhiều hơn một chút, chúng tôi sẽ sử dụng ôi để cải thiện kết quả một chút:
cat /var/log/auth* | grep Failed | awk '{print $2 "-" $1 " " $3 "\t USUARIO: " $9 "\t DESDE: " $11}'
Ở đây chúng ta thấy nó sẽ trông như thế nào:
Dòng này mà tôi vừa chỉ cho bạn không nên ghi nhớ tất cả, bạn có thể tạo bí danh đối với cô ấy, kết quả cũng giống như với dòng đầu tiên, chỉ có tổ chức hơn một chút.
Điều này tôi biết rằng không nhiều người sẽ thấy nó hữu ích, nhưng đối với những người quản lý máy chủ chúng tôi, tôi biết rằng nó sẽ cho chúng ta thấy một số dữ liệu thú vị hehe.
Liên quan
Sử dụng ống rất tốt
Liên quan
thanks
Xuất sắc 2 bài
Tôi luôn sử dụng cái đầu tiên, bởi vì tôi không biết awk, nhưng tôi sẽ phải học nó
cat / var / log / auth * | grep không thành công
Ở đây nơi tôi làm việc, tại Khoa Toán-Tính toán của Đại học Phương Đông ở Cuba, chúng tôi có một xưởng sản xuất những "hacker nhỏ", những người không ngừng phát minh ra những thứ mà họ không nên làm và tôi phải có 8 mắt. Chủ đề ssh là một trong số đó. Cảm ơn anh bạn đã tip.
Một câu hỏi đặt ra: nếu một máy chủ có máy chủ hướng tới internet nhưng trong iptables, máy chủ chỉ mở cổng ssh cho một số địa chỉ MAC nội bộ nhất định (giả sử từ văn phòng), các nỗ lực truy cập từ phần còn lại của các địa chỉ nội bộ sẽ đến được nhật ký xác thực và / hoặc bên ngoài? Bởi vì tôi có những nghi ngờ của tôi.
Trong nhật ký, những gì được lưu chỉ là các yêu cầu được tường lửa cho phép, nhưng bị hệ thống từ chối hoặc chấp thuận như vậy (ý tôi là đăng nhập).
Nếu tường lửa không cho phép các yêu cầu SSH vượt qua, không có gì sẽ đến được nhật ký.
Cái này thì tôi chưa thử, nhưng thôi ... tôi nghĩ nó phải như thế này 😀
grep -i không thành công /var/log/auth.log | awk '{print $ 2 «-» $ 1 »» $ 3 «\ t NGƯỜI DÙNG:» $ 9 «\ t TỪ:» $ 11}'
rgrep -i bị lỗi / var / log / (thư mục logrotates) | awk '{print $ 2 «-» $ 1 »» $ 3 «\ t NGƯỜI DÙNG:» $ 9 «\ t TỪ:» $ 11}'
bằng centos-redhat… ..etc ……
/ var / log / secure