Idag hittar vi olika sätt att ansluta till våra servrar på ett säkert sätt för att utföra underhålls- och supportuppgif.webpter eller för att kontrollera dess status. Eftersom vi inte alltid kan vara direkt på den fysiska platsen för detta det mest praktiska och vanliga sättet att komma åt servern, är det på distans möjligt genom SSH -protokollet.
SSH (Secure SHell) har utvecklats som ett protokoll som gör det möjligt att upprätta anslutningar mellan två system baserat på klient / serverarkitekturen, vilket underlättar att vi som administratörer eller användare kan ansluta på distans till servern eller datorn, en av de mest anmärkningsvärda fördelarna med SSH är att Det är ansvarigt för att kryptera anslutningssessionen för att öka säkerheten genom att förhindra att angripare får åtkomst till okrypterade lösenord.
Nu loggas och lagras varje inloggning eller försök att få åtkomst till servern med SSH i en loggfil av rsyslog -demonen på Linux så att det blir möjligt att komma åt den och i detalj validera vem, när och status för sessionens start möjliggör en mycket mer komplett revisions- och kontrolluppgif.webpt.
Solvetic kommer att förklara för dig i denna handledning hur du ser den här filen och avgör vem som har försökt eller loggat in på datorn.
1. Installera SSH på Linux
I det här exemplet har vi använt Ubuntu 19 och CentOS 8, kom ihåg att när vi kommer åt via SSH kan vi arbeta omfattande på datorn:
FÖRSTORA
Installera SSH på CentOS 8Om du vill installera SSH i CentOS 8 måste du köra följande:
yum -y installera openssh-server openssh-klienter
FÖRSTORA
Installera SSH på UbuntuOm du vill göra det i Ubuntu 19 måste du köra följande:
sudo apt installera openssh-server
2. Använd grep -kommandot för att visa misslyckade inloggningar på Linux
Steg 1
Det enklaste sättet att bestämma och visa inloggningsförsök är att köra följande:
grep "Misslyckat lösenord" /var/log/auth.log
Steg 2
Vi kan se detaljer som:
- Användare som försöker logga in
- IP-adress
- Port som används för inloggningsförsöket
Steg 3
Vi hittar samma resultat med kattkommandot:
cat /var/log/auth.log | grep "Misslyckat lösenord"
Steg 4
Om du vill få ytterligare information om misslyckade SSH -inloggningar i Linux måste vi utföra följande. Som vi ser är detaljerna mycket mer fullständiga.
egrep "Misslyckades | Fel" /var/log/auth.log
Visa loggar i RHEL eller CentOS 8När det gäller RHEL eller CentOS 8 finns alla loggar i / var / log / secure -filen, för deras visualisering kommer vi att utföra följande:
egrep "misslyckades | misslyckades" / var / log / secure
FÖRSTORA
Vi ser att loggarna förvaras med fullständiga detaljer inklusive registrerade sessionsnamn (korrekta eller inte). Ett annat alternativ för att visa misslyckade SSH -inloggningar i CentOS är att använda en av följande rader:
grep "Misslyckad" / var / log / secure grep "autentiseringsfel" / var / log / secure
FÖRSTORA
Steg 5
För att visa listan över IP -adresser som försökte komma åt, men som misslyckades, måste vi använda följande kommando:
grep "Misslyckat lösenord" /var/log/auth.log | awk '{print $ 11}' | uniq -c | sortera -nr Steg 6I de senaste Linux -distributionerna (till exempel Ubuntu 19) är det möjligt att komma åt körtidsloggfilen som Systemd hanterar med journalctl -kommandot, om vi vill se de misslyckade SSH -inloggningsloggarna använder vi kommandot grep för att filtrera resultat så här:
journalctl _SYSTEMD_UNIT = ssh.service | egrep "Misslyckad | Fel" (Ubuntu) journalctl _SYSTEMD_UNIT = sshd.service | egrep "misslyckades | misslyckades" (RHEL, CentOS)
På CentOSI CentOS kan vi också använda följande:
journalctl _SYSTEMD_UNIT = sshd.service | grep "misslyckande" journalctl _SYSTEMD_UNIT = sshd.service | grep "misslyckades"
Vi kan se hur vi ser varje misslyckat SSH -inloggningsförsök och utifrån detta vidta relevanta säkerhetsåtgärder för att bevara tillgängligheten av tjänster.
