I dag finner vi forskjellige måter å koble til serverne våre trygt for å utføre vedlikeholds- og støtteoppgaver eller for å kontrollere statusen til de samme. Fordi vi ikke alltid kan være direkte på den fysiske plasseringen av dette den mest praktiske og vanlige måten å få tilgang til serveren på, er det eksternt mulig gjennom SSH -protokollen.
SSH (Secure SHell) er utviklet som en protokoll som gjør det mulig å etablere forbindelser mellom to systemer basert på klient / serverarkitekturen, noe som letter at vi som administratorer eller brukere kan koble eksternt til serveren eller datamaskinen, en av de mest bemerkelsesverdige fordelene med SSH er at Det er ansvarlig for å kryptere tilkoblingsøkten for å øke sikkerheten ved å forhindre angripere i å få tilgang til ukrypterte passord.
Nå blir hver pålogging eller forsøk på å få tilgang til serveren ved hjelp av SSH logget og lagret i en loggfil av rsyslog -demonen på Linux, slik at det vil være mulig å få tilgang til den og validere i detalj hvem, når og status for oppstart av sesjonen muliggjøre en mye mer komplett revisjons- og kontrolloppgave.
Solvetic vil forklare deg i denne opplæringen hvordan du ser denne filen og avgjør hvem som har prøvd eller logget seg på datamaskinen.
1. Installer SSH på Linux
For dette eksemplet har vi brukt Ubuntu 19 og CentOS 8, husk at når vi får tilgang via SSH kan vi jobbe omfattende på datamaskinen:
FORSTØRRE
Installer SSH på CentOS 8Hvis du vil installere SSH i CentOS 8, må du utføre følgende:
yum -y installer openssh-server openssh-klienter
FORSTØRRE
Installer SSH på UbuntuHvis du vil gjøre det i Ubuntu 19, må du utføre følgende:
sudo apt installer openssh-server
2. Bruk grep -kommandoen for å vise mislykkede pålogginger på Linux
Trinn 1
Den enkleste måten å finne og se påloggingsforsøk på er å kjøre følgende:
grep "Mislykket passord" /var/log/auth.log
Steg 2
Vi kan se detaljer som:
- Bruker som prøver å logge inn
- IP adresse
- Port brukt for påloggingsforsøk
Trinn 3
Vi finner det samme resultatet med kattkommandoen:
cat /var/log/auth.log | grep "Mislykket passord"
Trinn 4
Hvis du ønsker å få ytterligere informasjon om de mislykkede SSH -påloggingene i Linux, må vi utføre følgende. Som vi ser er detaljene mye mer fullstendige.
egrep "Mislyktes | Feil" /var/log/auth.log
Se logger i RHEL eller CentOS 8Når det gjelder RHEL eller CentOS 8, ligger alle loggene i / var / log / secure -filen, for visualisering av dem vil vi utføre følgende:
egrep "Mislyktes | Feil" / var / log / secure
FORSTØRRE
Vi ser at loggene beholdes med fullstendige detaljer, inkludert registrerte sesjonsnavn (riktige eller ikke). Et annet alternativ for å se mislykkede SSH -pålogginger i CentOS er å bruke en av følgende linjer:
grep "Mislyktes" / var / log / secure grep "autentiseringsfeil" / var / log / secure
FORSTØRRE
Trinn 5
For å vise listen over IP -adresser som prøvde å få tilgang, men som mislyktes, må vi bruke følgende kommando:
grep "Mislykket passord" /var/log/auth.log | awk '{print $ 11}' | uniq -c | sorter -nr Trinn 6I de nyeste Linux -distribusjonene (for eksempel Ubuntu 19) er det mulig å få tilgang til kjøretidsloggfilen som Systemd administrerer med journalctl -kommandoen, hvis vi vil se de mislykkede SSH -påloggingsloggene, bruker vi kommandoen grep til å filtrere resultater som dette:
journalctl _SYSTEMD_UNIT = ssh.service | egrep "Failed | Failure" (Ubuntu) journalctl _SYSTEMD_UNIT = sshd.service | egrep "Mislyktes | Feil" (RHEL, CentOS)
På CentOSI CentOS kan vi også bruke følgende:
journalctl _SYSTEMD_UNIT = sshd.service | grep "failure" journalctl _SYSTEMD_UNIT = sshd.service | grep "mislyktes"
Vi kan se hvordan vi kan se hvert mislykket SSH -påloggingsforsøk, og ut fra dette ta de relevante sikkerhetstiltakene for å bevare tilgjengeligheten av tjenester.
