Danas pronalazimo različite načine za sigurno povezivanje s našim poslužiteljima radi obavljanja zadataka održavanja i podrške ili provjere statusa istih. Budući da ne možemo uvijek biti izravno na fizičkom mjestu ovog najpraktičnijeg i najčešćeg načina pristupa poslužitelju, to je moguće daljinski putem SSH protokola.
SSH (Secure SHell) razvijen je kao protokol koji omogućuje uspostavljanje veza između dva sustava na temelju arhitekture klijent / poslužitelj, što olakšava da se kao administratori ili korisnici možemo daljinski povezati s poslužiteljem ili računalom, što je jedna od najznačajnijih prednosti SSH -a je da je odgovoran za šifriranje sesije povezivanja radi povećanja sigurnosti sprječavajući napadače u pristupu nešifriranim lozinkama.
Sada, svaka prijava ili pokušaj pristupa poslužitelju putem SSH -a zapisuje se i pohranjuje u datoteku dnevnika od strane demona rsyslog na Linuxu tako da će mu biti moguće pristupiti i detaljno provjeriti tko, kada i status pokretanja sesije dopuštajući puno potpuniji zadatak revizije i kontrole.
Solvetic će vam u ovom vodiču objasniti kako pregledati ovu datoteku i utvrditi tko je pokušao ili se prijavio na računalo.
1. Instalirajte SSH na Linux
Za ovaj primjer koristili smo Ubuntu 19 i CentOS 8, zapamtite da pri pristupu putem SSH -a možemo sveobuhvatno raditi na računalu:
POVEĆAJTE
Instalirajte SSH na CentOS 8Ako želite instalirati SSH u CentOS 8, morate izvršiti sljedeće:
yum -y instalirajte openssh-poslužitelj openssh-klijente
POVEĆAJTE
Instalirajte SSH na UbuntuAko to želite učiniti u Ubuntu 19, morate izvršiti sljedeće:
sudo apt install openssh-server
2. Pomoću naredbe grep pogledajte neuspjele prijave na Linuxu
Korak 1
Najjednostavniji način za utvrđivanje i pregled pokušaja prijave je pokretanje sljedećeg:
grep "Neuspjela lozinka" /var/log/auth.log
Korak 2
Možemo vidjeti detalje poput:
- Korisnik koji se pokušava prijaviti
- IP adresa
- Port koji se koristi za pokušaj prijave
Korak 3
Isti rezultat nalazimo naredbom cat:
mačka /var/log/auth.log | grep "Neuspjela lozinka"
Korak 4
U slučaju da želite dobiti dodatne informacije o neuspjelim SSH prijavama u Linuxu, moramo izvršiti sljedeće. Kao što vidimo, detalji su puno potpuniji.
egrep "Neuspjelo | Neuspjeh" /var/log/auth.log
Pregledajte zapisnike u RHEL -u ili CentOS -u 8U slučaju RHEL -a ili CentOS -a 8, svi dnevnici se nalaze u / var / log / secure datoteci, radi njihove vizualizacije izvršit ćemo sljedeće:
egrep "Neuspjelo | Neuspjelo" / var / log / secure
POVEĆAJTE
Vidimo da se dnevnici vode s punim podacima, uključujući registrirane nazive sesija (ispravne ili ne). Druga mogućnost za pregled neuspjelih SSH prijava u CentOS -u je korištenje jednog od sljedećih redaka:
grep "Nije uspjelo" / var / log / secure grep "pogreška autentifikacije" / var / log / secure
POVEĆAJTE
Korak 5
Da bismo prikazali popis IP adresa kojima smo pokušali pristupiti, ali nisu uspjeli, moramo upotrijebiti sljedeću naredbu:
grep "Neuspjela lozinka" /var/log/auth.log | awk '{print $ 11}' | uniq -c | sortirati -br Korak 6U najnovijim distribucijama Linuxa (kao što je Ubuntu 19) moguće je pristupiti datoteci dnevnika za vrijeme izvođenja kojom Systemd upravlja pomoću naredbe journalctl. Ako želimo vidjeti neuspjele zapisnike prijave na SSH, upotrijebit ćemo grep naredbu za filtriranje datoteke ovakvi rezultati:
journalctl _SYSTEMD_UNIT = ssh.service | egrep "Neuspjelo | Neuspjeh" (Ubuntu) journalctl _SYSTEMD_UNIT = sshd.service | egrep "Neuspjelo | Neuspjeh" (RHEL, CentOS)
Na CentOS -uU CentOS -u također možemo koristiti sljedeće:
journalctl _SYSTEMD_UNIT = sshd.service | grep "neuspjeh" journalctl _SYSTEMD_UNIT = sshd.service | grep "Nije uspjelo"
Možemo vidjeti kako pogledati svaki neuspjeli pokušaj prijave na SSH i na temelju toga poduzeti odgovarajuće sigurnosne mjere za očuvanje dostupnosti usluga.
