Как просмотреть список неудачных входов в SSH в Linux
На этой странице
- Установка OpenSSH
- Как найти все неудачные попытки входа по SSH
- Заключение
\Нет белого или черного, есть только оттенки серого. Мы не можем сказать, хорошо это или плохо\.
А иногда нам нужно копаться в оттенках серого и искать проблемы до того, как они возникнут. Одной из таких проверок может быть поиск неудачных попыток входа в SSH. К счастью, Ubuntu поставляется с одним решением, достаточно простым, но достаточно мощным, чтобы обнаруживать большинство случаев, когда кто-то допускает использование слабых паролей и атаки грубой силы.
Каждая попытка входа на SSH-сервер записывается демоном rsyslog в файл с именем auth.log, расположенный по адресу /var/log/auth.log.
Администраторы могут просматривать журналы на наличие странного входящего трафика. Файл журнала содержит много информации в виде простого текста, но прочитать все выходные данные непросто. Нам нужно научиться использовать grep для поиска в файле журнала, и в этом примере мы сосредоточимся на неудачных попытках.
Установка OpenSSH
OpenSSH — это служба, которая обеспечивает безопасный удаленный доступ к системам в форме протокола прикладного уровня, она также включает программу командной строки scp. Войдите в систему как пользователь root или переключитесь на пользователя с привилегиями sudo, затем используйте команду ниже для установки OpenSSH:
sudo apt-get update
sudo apt-get install openssh-server -y
Эта команда должна установить OpenSSH и его зависимости. Вы должны увидеть, что также устанавливаются дополнительные пакеты, потому что для правильной работы OpenSSH требуется довольно много.
После установки вы можете включить ssh, введя следующую команду в окне терминала:
sudo systemctl enable ssh
Вы должны увидеть аналогичный вывод изображения ниже в окне терминала, если команда была успешной:
Следующие команды можно использовать для остановки SSH на компьютерах с Ubuntu, если вы хотите его отключить:
sudo systemctl stop ssh
Его можно запустить снова, запустив:
sudo systemctl start ssh
Чтобы проверить, работает ли сервер SSH, вы можете использовать команду ниже:
sudo systemctl status ssh
Вы должны увидеть аналогичный вывод в своем терминале:
На приведенном выше снимке экрана видно, что SSH-сервер уже запущен и включен, что означает, что он будет работать во время загрузки.
Как найти все неудачные попытки входа по SSH
Неудачная попытка входа в систему может быть вызвана множеством причин, а не только эксплуатацией автоматического входа в систему. Неудачная попытка входа может произойти, если:
- Пользователь может ввести свой пароль неправильно.
- Попытка использовать неверный пароль для входа.
- Сервер подвергся грубой атаке, и хакеры пытаются угадать пароль с помощью автоматических скриптов.
Самый простой способ вывести список всех неудачных попыток входа в SSH — использовать следующую команду:
grep "Failed password" /var/log/auth.log
Вы должны увидеть аналогичный вывод в своем терминале:
Следующие команды можно использовать для отображения неудачных попыток входа по SSH в CentOS или RHEL в слегка измененной версии приведенной выше команды:
grep "Failed" /var/log/secure
grep "authentication failure" /var/log/secure
Кроме того, мы можем просмотреть журналы с помощью демона Systemd с помощью команды journalctl:
journalctl _SYSTEMD_UNIT=ssh.service | egrep "Failed|Failure"
Чтобы отобразить список всех IP-адресов, ответственных за неудачные попытки входа в SSH, с количеством попыток рядом с ним, вы можете использовать эту команду:
grep "Failed password" /var/log/auth.log | awk ‘{print $11}’ | uniq -c | sort -nr
Неизбежно, что время от времени будет происходить неудачная попытка входа в систему. Однако по-прежнему крайне важно идентифицировать неудачные попытки входа на ваш сервер. Важно определить IP-адреса, которые часто обращаются к вашему SSH-серверу, и предпринять необходимые действия.
Заключение
В этом руководстве мы рассмотрели, как найти неудачные попытки входа в систему SSH на компьютере с Linux. Мы также изучили другой подход, связанный с использованием команды journalctl. Мы надеемся, что вы нашли эту статью полезной. Не стесняйтесь оставлять свои отзывы или любые вопросы, которые у вас могут возникнуть в разделе комментариев.