Поиск по сайту:

Как просмотреть список неудачных входов в SSH в Linux

На этой странице

  1. Установка OpenSSH
  2. Как найти все неудачные попытки входа по SSH
  3. Заключение

\Нет белого или черного, есть только оттенки серого. Мы не можем сказать, хорошо это или плохо\.

А иногда нам нужно копаться в оттенках серого и искать проблемы до того, как они возникнут. Одной из таких проверок может быть поиск неудачных попыток входа в SSH. К счастью, Ubuntu поставляется с одним решением, достаточно простым, но достаточно мощным, чтобы обнаруживать большинство случаев, когда кто-то допускает использование слабых паролей и атаки грубой силы.

Каждая попытка входа на SSH-сервер записывается демоном rsyslog в файл с именем auth.log, расположенный по адресу /var/log/auth.log.

Администраторы могут просматривать журналы на наличие странного входящего трафика. Файл журнала содержит много информации в виде простого текста, но прочитать все выходные данные непросто. Нам нужно научиться использовать grep для поиска в файле журнала, и в этом примере мы сосредоточимся на неудачных попытках.

Установка OpenSSH

OpenSSH — это служба, которая обеспечивает безопасный удаленный доступ к системам в форме протокола прикладного уровня, она также включает программу командной строки scp. Войдите в систему как пользователь root или переключитесь на пользователя с привилегиями sudo, затем используйте команду ниже для установки OpenSSH:

sudo apt-get update
sudo apt-get install openssh-server -y

Эта команда должна установить OpenSSH и его зависимости. Вы должны увидеть, что также устанавливаются дополнительные пакеты, потому что для правильной работы OpenSSH требуется довольно много.

После установки вы можете включить ssh, введя следующую команду в окне терминала:

sudo systemctl enable ssh

Вы должны увидеть аналогичный вывод изображения ниже в окне терминала, если команда была успешной:

Следующие команды можно использовать для остановки SSH на компьютерах с Ubuntu, если вы хотите его отключить:

sudo systemctl stop ssh

Его можно запустить снова, запустив:

sudo systemctl start ssh

Чтобы проверить, работает ли сервер SSH, вы можете использовать команду ниже:

sudo systemctl status ssh

Вы должны увидеть аналогичный вывод в своем терминале:

На приведенном выше снимке экрана видно, что SSH-сервер уже запущен и включен, что означает, что он будет работать во время загрузки.

Как найти все неудачные попытки входа по SSH

Неудачная попытка входа в систему может быть вызвана множеством причин, а не только эксплуатацией автоматического входа в систему. Неудачная попытка входа может произойти, если:

  • Пользователь может ввести свой пароль неправильно.
  • Попытка использовать неверный пароль для входа.
  • Сервер подвергся грубой атаке, и хакеры пытаются угадать пароль с помощью автоматических скриптов.

Самый простой способ вывести список всех неудачных попыток входа в SSH — использовать следующую команду:

grep "Failed password" /var/log/auth.log

Вы должны увидеть аналогичный вывод в своем терминале:

Следующие команды можно использовать для отображения неудачных попыток входа по SSH в CentOS или RHEL в слегка измененной версии приведенной выше команды:

grep "Failed" /var/log/secure
grep "authentication failure" /var/log/secure

Кроме того, мы можем просмотреть журналы с помощью демона Systemd с помощью команды journalctl:

journalctl _SYSTEMD_UNIT=ssh.service | egrep "Failed|Failure"

Чтобы отобразить список всех IP-адресов, ответственных за неудачные попытки входа в SSH, с количеством попыток рядом с ним, вы можете использовать эту команду:

grep "Failed password" /var/log/auth.log | awk ‘{print $11}’ | uniq -c | sort -nr

Неизбежно, что время от времени будет происходить неудачная попытка входа в систему. Однако по-прежнему крайне важно идентифицировать неудачные попытки входа на ваш сервер. Важно определить IP-адреса, которые часто обращаются к вашему SSH-серверу, и предпринять необходимые действия.

Заключение

В этом руководстве мы рассмотрели, как найти неудачные попытки входа в систему SSH на компьютере с Linux. Мы также изучили другой подход, связанный с использованием команды journalctl. Мы надеемся, что вы нашли эту статью полезной. Не стесняйтесь оставлять свои отзывы или любые вопросы, которые у вас могут возникнуть в разделе комментариев.