Kako najti vse neuspešne poskuse prijave SSH v Linuxu
Vsakemu poskusu prijave na strežnik SSH se sledi in zabeleži v datoteko dnevnika z ukazom grep.
Če želite prikazati seznam neuspelih prijav SSH v Linuxu, izdajte nekaj ukazov, predstavljenih v tem priročniku. Prepričajte se, da so ti ukazi izvedeni s korenskimi pravicami.
Najpreprostejši ukaz za seznam vseh neuspelih prijav SSH je spodaj prikazan.
# grep "Failed password" /var/log/auth.log
Enak rezultat je mogoče doseči tudi z izdajo ukaza cat.
# cat /var/log/auth.log | grep "Failed password"
Če želite prikazati dodatne informacije o neuspelih prijavah SSH, izdajte ukaz, kot je prikazano v spodnjem primeru.
# egrep "Failed|Failure" /var/log/auth.log
V CentOS -u ali RHEL -u se neuspele seje SSH zabeležijo v datoteki/var/log/secure. Izdajte zgornji ukaz tej datoteki dnevnika, da prepoznate neuspele prijave SSH.
# egrep "Failed|Failure" /var/log/secure
Nekoliko spremenjena različica zgornjega ukaza za prikaz neuspelih prijav SSH v CentOS ali RHEL je naslednja.
# grep "Failed" /var/log/secure # grep "authentication failure" /var/log/secure
Če želite prikazati seznam vseh naslovov IP, ki so se poskušali prijaviti na strežnik SSH, vendar se niso uspeli, skupaj s številom neuspešnih poskusov vsakega naslova IP, izdajte spodnji ukaz.
# grep "Failed password" /var/log/auth.log | awk ‘{print $11}’ | uniq -c | sort -nr
V novejših distribucijah Linuxa lahko poiščete datoteko dnevnika izvajanja, ki jo vzdržuje demon Systemd, z ukazom journalctl. Če želite prikazati vse neuspešne poskuse prijave v SSH, morate rezultat poslati skozi grep filter, kot je prikazano v spodnjih primerih ukazov.
# journalctl _SYSTEMD_UNIT=ssh.service | egrep "Failed|Failure" # journalctl _SYSTEMD_UNIT=sshd.service | egrep "Failed|Failure" #In RHEL, CentOS
V CentOS ali RHEL zamenjajte demonsko enoto SSH s sshd.service, kot je prikazano v spodnjih primerih ukazov.
# journalctl _SYSTEMD_UNIT=sshd.service | grep "failure" # journalctl _SYSTEMD_UNIT=sshd.service | grep "Failed"
Ko določite naslove IP, ki pogosto pridejo na vaš strežnik SSH, da se prijavite v sistem s sumljivimi uporabniškimi računi ali neveljavnimi uporabniškimi računi, morate posodobiti pravila požarnega zidu sistema za fail2ban za upravljanje teh napadov.