Hvernig á að finna allar misheppnaðar SSH innskráningartilraunir í Linux
Hver tilraun til að skrá þig inn á SSH netþjóninn er rakin og skráð í annálaskrá með grep skipuninni.
Til að birta lista yfir misheppnaðar SSH innskráningar í Linux skaltu gefa út nokkrar af skipunum sem kynntar eru í þessari handbók. Gakktu úr skugga um að þessar skipanir séu keyrðar með rótarréttindum.
Einfaldasta skipunin til að skrá allar misheppnaðar SSH innskráningar er sú sem sýnd er hér að neðan.
# grep "Failed password" /var/log/auth.log
Sama niðurstöðu er einnig hægt að ná með því að gefa út kattaskipunina.
# cat /var/log/auth.log | grep "Failed password"
Til að birta aukaupplýsingar um misheppnaðar SSH innskráningar skaltu gefa út skipunina eins og sýnt er í dæminu hér að neðan.
# egrep "Failed|Failure" /var/log/auth.log
Í CentOS eða RHEL eru misheppnuðu SSH loturnar skráðar í /var/log/secure skrá. Gefðu út ofangreinda skipun gegn þessari annálaskrá til að bera kennsl á misheppnaðar SSH innskráningar.
# egrep "Failed|Failure" /var/log/secure
Örlítið breytt útgáfa af ofangreindri skipun til að sýna misheppnaða SSH innskráningu í CentOS eða RHEL er sem hér segir.
# grep "Failed" /var/log/secure # grep "authentication failure" /var/log/secure
Til að birta lista yfir allar IP tölur sem reyndu og mistókst að skrá sig inn á SSH netþjóninn ásamt fjölda misheppnuðu tilrauna hverrar IP tölu skaltu gefa út skipunina hér að neðan.
# grep "Failed password" /var/log/auth.log | awk ‘{print $11}’ | uniq -c | sort -nr
Á nýrri Linux dreifingum er hægt að spyrjast fyrir um keyrsluskrána sem viðhaldið er af Systemd púknum í gegnum journalctl skipunina. Til þess að birta allar misheppnaðar SSH innskráningartilraunir ættir þú að pípa niðurstöðuna í gegnum grep síu, eins og sýnt er í skipunardæmunum hér að neðan.
# journalctl _SYSTEMD_UNIT=ssh.service | egrep "Failed|Failure" # journalctl _SYSTEMD_UNIT=sshd.service | egrep "Failed|Failure" #In RHEL, CentOS
Í CentOS eða RHEL skaltu skipta um SSH púkaeininguna fyrir sshd.service, eins og sýnt er í skipunardæmunum hér að neðan.
# journalctl _SYSTEMD_UNIT=sshd.service | grep "failure" # journalctl _SYSTEMD_UNIT=sshd.service | grep "Failed"
Eftir að þú hefur borið kennsl á IP vistföngin sem lenda oft á SSH þjóninum þínum til að skrá þig inn í kerfið með grunsamlegum notendareikningum eða ógildum notendareikningum, ættir þú að uppfæra eldveggsreglur kerfisins í fail2ban til að stjórna þessum árásum.