Weboldal keresés

Hogyan lehet megtalálni az összes sikertelen SSH-bejelentkezési kísérletet Linux alatt

Az rsyslog démon Linux alatt minden egyes SSH-kiszolgálóra való bejelentkezési kísérletet nyomon követ, és egy naplófájlba rögzít. Az összes sikertelen SSH-bejelentkezési kísérlet felsorolásának legalapvetőbb mechanizmusa a Linuxban a naplófájlok megjelenítése és szűrése a cat parancs vagy a grep parancs segítségével.

A sikertelen SSH-bejelentkezések listájának megjelenítéséhez Linuxon, adja ki az ebben az útmutatóban bemutatott parancsokat. Győződjön meg arról, hogy ezeket a parancsokat root jogosultságokkal hajtja végre.

A legegyszerűbb parancs az összes sikertelen SSH-bejelentkezés felsorolására az alábbiakban látható.

grep "Failed password" /var/log/auth.log

Ugyanez az eredmény érhető el a macska parancs kiadásával is.

cat /var/log/auth.log | grep "Failed password"

A sikertelen SSH-bejelentkezésekkel kapcsolatos további információk megjelenítéséhez adja ki a parancsot az alábbi példában látható módon.

egrep "Failed|Failure" /var/log/auth.log

A CentOS vagy RHEL rendszerben a sikertelen SSH-munkameneteket a rendszer a /var/log/secure fájlba rögzíti. Adja ki a fenti parancsot erre a naplófájlra a sikertelen SSH-bejelentkezések azonosításához.

egrep "Failed|Failure" /var/log/secure

A fenti parancs kissé módosított változata a CentOS vagy RHEL rendszerben a sikertelen SSH-bejelentkezések megjelenítésére a következő.

grep "Failed" /var/log/secure
grep "authentication failure" /var/log/secure

Ha meg szeretné jeleníteni az összes IP-cím listáját, amelyek megpróbáltak bejelentkezni az SSH-kiszolgálóra, de nem sikerült bejelentkezni, valamint az egyes IP-címekhez tartozó sikertelen próbálkozások számát, adja ki az alábbi parancsot.

grep "Failed password" /var/log/auth.log | awk ‘{print $11}’ | uniq -c | sort -nr

Újabb Linux-disztribúciókon a journalctl paranccsal lekérdezheti a Systemd démon által karbantartott futásidejű naplófájlt. Az összes sikertelen SSH-bejelentkezési kísérlet megjelenítéséhez az eredményt a grep szűrőn keresztül kell átvezetnie, amint azt az alábbi parancspéldák mutatják.

journalctl _SYSTEMD_UNIT=ssh.service | egrep "Failed|Failure"
journalctl _SYSTEMD_UNIT=sshd.service | egrep "Failed|Failure"  #In RHEL, CentOS

A CentOS vagy RHEL rendszerben cserélje ki az SSH démon egységet a következőre: sshd.service, az alábbi parancspéldák szerint.

journalctl _SYSTEMD_UNIT=sshd.service | grep "failure"
journalctl _SYSTEMD_UNIT=sshd.service | grep "Failed"

Miután azonosította azokat az IP-címeket, amelyek gyakran elérik az SSH-kiszolgálót, hogy gyanús felhasználói fiókokkal vagy érvénytelen felhasználói fiókokkal jelentkezzen be a rendszerbe, frissítse a rendszer tűzfalszabályait, hogy blokkolja a sikertelen SSH-kísérletek IP-címeit, vagy használjon speciális szoftver, mint például a fail2ban a támadások kezelésére.