Kā atrast visus neizdevušos SSH pieteikšanās mēģinājumus Linux

Katrs mēģinājums pieteikties SSH serverī tiek izsekots un ierakstīts žurnāla failā ar komandu grep.

Lai parādītu Linux neizdevušos SSH pieteikšanos sarakstu, izdodiet dažas šajā rokasgrāmatā norādītās komandas. Pārliecinieties, vai šīs komandas tiek izpildītas ar root tiesībām.

Visvienkāršākā komanda visu neveiksmīgo SSH pieteikšanos uzskaitīšanai ir tā, kas parādīta zemāk.

# grep "Failed password" /var/log/auth.log

To pašu rezultātu var sasniegt arī, izdodot kaķu komandu.

# cat /var/log/auth.log | grep "Failed password"

Lai parādītu papildu informāciju par neizdevušajiem SSH pieteikšanās gadījumiem, izsniedziet komandu, kā parādīts zemāk esošajā piemērā.

# egrep "Failed|Failure" /var/log/auth.log

CentOS vai RHEL neizdevušās SSH sesijas tiek ierakstītas failā/var/log/secure. Izdodiet iepriekš minēto komandu pret šo žurnālfailu, lai identificētu neizdevušos SSH pieteikšanos.

# egrep "Failed|Failure" /var/log/secure

Nedaudz modificēta iepriekš minētās komandas versija, lai parādītu neizdevušos SSH pieteikšanos CentOS vai RHEL, ir šāda.

# grep "Failed" /var/log/secure
# grep "authentication failure" /var/log/secure

Lai parādītu visu IP adrešu sarakstu, kuras mēģināja pieteikties un neizdevās pieteikties SSH serverī, kopā ar katras IP adreses neizdevušos mēģinājumu skaitu, izsniedziet tālāk norādīto komandu.

# grep "Failed password" /var/log/auth.log | awk ‘{print $11}’ | uniq -c | sort -nr

Jaunākos Linux izplatījumos varat vaicāt izpildlaika žurnālfailu, kuru uztur Systemd dēmons, izmantojot journalctl komandu. Lai parādītu visus neveiksmīgos SSH pieteikšanās mēģinājumus, rezultāts jāpārklāj caur grep filtru, kā parādīts zemāk esošajos komandu piemēros.

# journalctl _SYSTEMD_UNIT=ssh.service | egrep "Failed|Failure"
# journalctl _SYSTEMD_UNIT=sshd.service | egrep "Failed|Failure"  #In RHEL, CentOS 

CentOS vai RHEL nomainiet SSH dēmona vienību ar sshd.service, kā parādīts zemāk esošajos komandu piemēros.

# journalctl _SYSTEMD_UNIT=sshd.service | grep "failure"
# journalctl _SYSTEMD_UNIT=sshd.service | grep "Failed"

Kad esat identificējis IP adreses, kas bieži skar jūsu SSH serveri, lai pieteiktos sistēmā ar aizdomīgiem lietotāju kontiem vai nederīgiem lietotāju kontiem, jums jāatjaunina sistēmas ugunsmūra noteikumi fail2ban, lai pārvaldītu šos uzbrukumus.