Revedesenteurs
Jokainen yritys kirjautua SSH-palvelimelle seuraa ja tallentaa lokitiedostoon Linuxin rsyslog-daemonilla. Perusmekanismi kaikkien epäonnistuneiden SSH-kirjautumisyritysten luetteloimiseksi Linuxissa on yhdistelmä lokitiedostojen näyttämistä ja suodattamista cat-komennon tai grep-komennon avulla.
Anna luettelo epäonnistuneista SSH-kirjautumisista Linuxissa antamalla joitain tässä oppaassa esitetyistä komennoista. Varmista, että nämä komennot suoritetaan pääkäyttäjän oikeuksilla.
Yksinkertaisin komento kaikkien epäonnistuneiden SSH-kirjautumisten luetteloimiseksi on alla esitetty.
# grep "Virheellinen salasana" / var / log / auth.Hirsi
Sama tulos voidaan saavuttaa myös antamalla kissakomento.
# kissa / var / loki / todenn.loki | grep "Virheellinen salasana"
Jos haluat näyttää lisätietoja epäonnistuneista SSH-kirjautumisista, anna komento alla olevan esimerkin mukaisesti.
# egrep "Failed | Failure" / var / log / auth.Hirsi
Sisään CentOS tai RHEL, epäonnistuneet SSH-istunnot tallennetaan / var / loki / suojattu tiedosto. Anna yllä oleva komento tätä lokitiedostoa vastaan epäonnistuneiden SSH-kirjautumisten tunnistamiseksi.
# egrep "Failed | Failure" / var / log / secure
Hieman muokattu versio yllä olevasta komennosta epäonnistuneiden SSH-kirjautumisten näyttämiseksi CentOS: ssa tai RHEL: ssä on seuraava.
# grep "Failed" / var / log / secure # grep "todennuksen epäonnistuminen" / var / log / secure
Saat luettelon kaikista IP-osoitteista, jotka yrittivät kirjautua SSH-palvelimeen, ja kunkin IP-osoitteen epäonnistuneiden yritysten määrän, antamalla alla olevan komennon.
# grep "Virheellinen salasana" / var / log / auth.loki | awk 'print $ 11' | uniq -c | lajittelu -nr
Uudemmissa Linux-jakeluissa voit kysyä Systemd-daemonin ylläpitämää ajonaikaisen lokitiedoston kautta journalctl komento. Jos haluat näyttää kaikki epäonnistuneet SSH-kirjautumisyritykset, sinun on lähetettävä tulos kautta grep suodatin, kuten alla olevissa komento-esimerkeissä on esitetty.
# journalctl _SYSTEMD_UNIT = ssh.palvelu | egrep "Failed | Failure" # journalctl _SYSTEMD_UNIT = sshd.palvelu | egrep "Failed | Failure" # RHEL, CentOS
Sisään CentOS tai RHEL, korvaa SSH-daemon-yksikkö sshd.palvelu, kuten alla olevissa komento-esimerkeissä on esitetty.
# journalctl _SYSTEMD_UNIT = sshd.palvelu | grep "epäonnistuminen" # journalctl _SYSTEMD_UNIT = sshd.palvelu | grep "epäonnistui"
Kun olet tunnistanut IP-osoitteet, jotka osuvat usein SSH-palvelimeesi, jotta voit kirjautua järjestelmään epäilyttävillä käyttäjätileillä tai virheellisillä käyttäjätileillä, päivitä järjestelmän palomuurisäännöt estämään epäonnistuneet SSH-yritykset IP-osoitteet tai käytä erikoistunutta ohjelmisto, kuten fail2ban näiden hyökkäysten hallitsemiseksi.
