Hogyan lehet megtalálni az összes sikertelen SSH-bejelentkezési kísérletet Linux alatt
Az rsyslog démon Linux alatt minden egyes SSH-kiszolgálóra való bejelentkezési kísérletet nyomon követ, és egy naplófájlba rögzít. Az összes sikertelen SSH-bejelentkezési kísérlet felsorolásának legalapvetőbb mechanizmusa a Linuxban a naplófájlok megjelenítése és szűrése a cat parancs vagy a grep parancs segítségével.
A sikertelen SSH-bejelentkezések listájának megjelenítéséhez Linuxon, adja ki az ebben az útmutatóban bemutatott parancsokat. Győződjön meg arról, hogy ezeket a parancsokat root jogosultságokkal hajtja végre.
A legegyszerűbb parancs az összes sikertelen SSH-bejelentkezés felsorolására az alábbiakban látható.
grep "Failed password" /var/log/auth.log
Ugyanez az eredmény érhető el a macska parancs kiadásával is.
cat /var/log/auth.log | grep "Failed password"
A sikertelen SSH-bejelentkezésekkel kapcsolatos további információk megjelenítéséhez adja ki a parancsot az alábbi példában látható módon.
egrep "Failed|Failure" /var/log/auth.log
A CentOS vagy RHEL rendszerben a sikertelen SSH-munkameneteket a rendszer a /var/log/secure fájlba rögzíti. Adja ki a fenti parancsot erre a naplófájlra a sikertelen SSH-bejelentkezések azonosításához.
egrep "Failed|Failure" /var/log/secure
A fenti parancs kissé módosított változata a CentOS vagy RHEL rendszerben a sikertelen SSH-bejelentkezések megjelenítésére a következő.
grep "Failed" /var/log/secure
grep "authentication failure" /var/log/secure
Ha meg szeretné jeleníteni az összes IP-cím listáját, amelyek megpróbáltak bejelentkezni az SSH-kiszolgálóra, de nem sikerült bejelentkezni, valamint az egyes IP-címekhez tartozó sikertelen próbálkozások számát, adja ki az alábbi parancsot.
grep "Failed password" /var/log/auth.log | awk ‘{print $11}’ | uniq -c | sort -nr
Újabb Linux-disztribúciókon a journalctl paranccsal lekérdezheti a Systemd démon által karbantartott futásidejű naplófájlt. Az összes sikertelen SSH-bejelentkezési kísérlet megjelenítéséhez az eredményt a grep szűrőn keresztül kell átvezetnie, amint azt az alábbi parancspéldák mutatják.
journalctl _SYSTEMD_UNIT=ssh.service | egrep "Failed|Failure"
journalctl _SYSTEMD_UNIT=sshd.service | egrep "Failed|Failure" #In RHEL, CentOS
A CentOS vagy RHEL rendszerben cserélje ki az SSH démon egységet a következőre: sshd.service, az alábbi parancspéldák szerint.
journalctl _SYSTEMD_UNIT=sshd.service | grep "failure"
journalctl _SYSTEMD_UNIT=sshd.service | grep "Failed"
Miután azonosította azokat az IP-címeket, amelyek gyakran elérik az SSH-kiszolgálót, hogy gyanús felhasználói fiókokkal vagy érvénytelen felhasználói fiókokkal jelentkezzen be a rendszerbe, frissítse a rendszer tűzfalszabályait, hogy blokkolja a sikertelen SSH-kísérletek IP-címeit, vagy használjon speciális szoftver, mint például a fail2ban a támadások kezelésére.