Cara Mencari Semua Percubaan Masuk SSH Gagal Di Linux

Setiap percubaan untuk log masuk ke SSH Server dikesan dan dirakam ke dalam fail log oleh daemon rsyslog di linux. Mekanisme yang paling asas untuk menyenaraikan semua percubaan login SSH yang gagal di Linux adalah gabungan memaparkan dan menapis fail log dengan bantuan perintah kucing atau perintah grep.

Untuk memaparkan senarai log masuk SSH yang gagal di Linux, mengeluarkan beberapa arahan yang dibentangkan dalam panduan ini. Pastikan arahan ini dilaksanakan dengan keistimewaan akar.

Perintah yang paling mudah untuk menyenaraikan semua log masuk SSH yang gagal adalah yang ditunjukkan di bawah.

# grep "kata laluan gagal"/var/log/auth.log 

Senaraikan semua percubaan masuk SSH yang gagal

Hasil yang sama juga dapat dicapai dengan mengeluarkan perintah kucing.

# kucing/var/log/auth.log | grep "kata laluan gagal" 

Untuk memaparkan maklumat tambahan mengenai log masuk SSH yang gagal, mengeluarkan arahan seperti yang ditunjukkan dalam contoh di bawah.

# egrep "gagal | kegagalan"/var/log/auth.log 

Cari log masuk SSH yang gagal

Dalam Centos atau RHEL, Sesi SSH yang gagal direkodkan /var/log/selamat fail. Mengeluarkan arahan di atas terhadap fail log ini untuk mengenal pasti log masuk SSH yang gagal.

# egrep "gagal | kegagalan"/var/log/selamat 

Cari Masuk SSH yang gagal di CentOS

Versi yang sedikit diubahsuai dari arahan di atas untuk memaparkan log masuk SSH gagal di CentOS atau RHEL adalah seperti berikut.

# grep "gagal"/var/log/selamat # grep "kegagalan pengesahan"/var/log/selamat 

Cari log masuk kegagalan pengesahan SSH

Untuk memaparkan senarai semua alamat IP yang cuba dan gagal log masuk ke pelayan SSH bersama bilangan percubaan gagal setiap alamat IP, mengeluarkan arahan di bawah.

# grep "kata laluan gagal"/var/log/auth.log | awk 'cetak $ 11' | uniq -c | sort -nr 

Cari alamat IP SSH gagal log masuk

Pada pengagihan Linux yang lebih baru, anda boleh menanyakan fail log runtime yang diselenggarakan oleh Systemd Daemon melalui Journalctl perintah. Untuk memaparkan semua percubaan log masuk SSH yang gagal, anda harus menepuk hasilnya melalui grep penapis, seperti yang digambarkan dalam contoh arahan di bawah.

# Journalctl _systemd_unit = ssh.Perkhidmatan | egrep "gagal | kegagalan" # Journalctl _systemd_unit = sshd.Perkhidmatan | Egrep "Gagal | Kegagalan" #In Rhel, Centos 

Cari masa nyata gagal log masuk SSH

Dalam Centos atau RHEL, ganti unit daemon ssh dengan SSHD.perkhidmatan, Seperti yang ditunjukkan dalam contoh perintah di bawah.

# Journalctl _systemd_unit = sshd.Perkhidmatan | grep "kegagalan" # Journalctl _systemd_unit = sshd.Perkhidmatan | grep "gagal" 

Setelah anda mengenal pasti alamat IP yang kerap memukul pelayan SSH anda untuk log masuk ke sistem dengan akaun pengguna yang mencurigakan atau akaun pengguna yang tidak sah, anda harus mengemas kini peraturan firewall sistem anda untuk menyekat alamat IP percubaan SSH yang gagal atau menggunakan khusus perisian, seperti fail2ban untuk menguruskan serangan ini.