Kuidas leida kõik ebaõnnestunud SSH sisselogimiskatsed Linuxis


Iga SSH-serverisse sisselogimiskatset jälgitakse ja salvestatakse logifaili käsuga grep.

Ebaõnnestunud SSH-i sisselogimiste loendi kuvamiseks Linuxis väljastage mõned selles juhendis toodud käsud. Veenduge, et need käsud täidetakse juurõigustega.

Kõige lihtsam käsk kõigi ebaõnnestunud SSH sisselogimiste loetlemiseks on allpool näidatud.

# grep "Failed password" /var/log/auth.log

Sama tulemuse võib saavutada ka kassile käsu andmisega.

# cat /var/log/auth.log | grep "Failed password"

Ebaõnnestunud SSH sisselogimiste kohta lisateabe kuvamiseks väljastage käsk, nagu on näidatud allpool toodud näites.

# egrep "Failed|Failure" /var/log/auth.log

CentOSis või RHEL-is registreeritakse ebaõnnestunud SSH-seansid failis/var/log/secure. Ebaõnnestunud SSH-i sisselogimiste tuvastamiseks väljastage selle logifaili vastu ülaltoodud käsk.

# egrep "Failed|Failure" /var/log/secure

Ülaltoodud käsu veidi muudetud versioon ebaõnnestunud SSH sisselogimiste kuvamiseks CentOS-is või RHEL-is on järgmine.

# grep "Failed" /var/log/secure
# grep "authentication failure" /var/log/secure

Kõigi IP-aadresside ebaõnnestunud katsete arvu kõrval kõigi IP-aadresside loendi kuvamiseks, mis proovisid SSH-serverisse sisse logida, anti allpool käsk.

# grep "Failed password" /var/log/auth.log | awk ‘{print $11}’ | uniq -c | sort -nr

Uuematel Linuxi jaotustel saate käsu logi faili, mida haldab Systemd deemon, käsuga journalctl. Kõigi ebaõnnestunud SSH-i sisselogimiskatsete kuvamiseks peate tulemuse edastama grep-filtri kaudu, nagu on näidatud allpool toodud käskude näidetes.

# journalctl _SYSTEMD_UNIT=ssh.service | egrep "Failed|Failure"
# journalctl _SYSTEMD_UNIT=sshd.service | egrep "Failed|Failure"  #In RHEL, CentOS 

CentOSis või RHEL-is asendage SSH deemoni üksus sshd.service'iga, nagu on näidatud allpool toodud käskude näidetes.

# journalctl _SYSTEMD_UNIT=sshd.service | grep "failure"
# journalctl _SYSTEMD_UNIT=sshd.service | grep "Failed"

Pärast seda, kui olete tuvastanud IP-aadressid, mis teie SSH-serverit sageli tabavad, et kahtlaste kasutajakontode või kehtetute kasutajakontodega süsteemi sisse logida, peaksite nende rünnakute haldamiseks värskendama oma süsteemi tulemüüri reegleid fail2ban.