Šodien mēs atrodam dažādus veidus, kā droši izveidot savienojumu ar mūsu serveriem, lai veiktu apkopes un atbalsta uzdevumus vai pārbaudītu to statusu. Tā kā mēs ne vienmēr varam atrasties tieši fiziskajā vietā, jo tas ir vispraktiskākais un izplatītākais veids, kā piekļūt serverim, tas ir iespējams attālināti, izmantojot SSH protokolu.
SSH (Secure SHell) ir izstrādāts kā protokols, kas ļauj izveidot savienojumus starp divām sistēmām, pamatojoties uz klienta / servera arhitektūru, atvieglojot to, ka mēs kā administratori vai lietotāji varam attālināti izveidot savienojumu ar serveri vai datoru, kas ir viena no ievērojamākajām SSH priekšrocībām Tas ir atbildīgs par savienojuma sesijas šifrēšanu, lai palielinātu drošību, neļaujot uzbrucējiem piekļūt nešifrētām parolēm.
Tagad ikviens pieteikšanās vai mēģinājums piekļūt serverim, izmantojot SSH, tiek reģistrēts un saglabāts žurnāla failā, izmantojot rsyslog dēmonu operētājsistēmā Linux, lai tam būtu iespējams piekļūt un detalizēti pārbaudīt, kurš, kad un sesijas palaišanas statuss ļaujot veikt daudz pilnīgāku revīzijas un kontroles uzdevumu.
Solvetic šajā apmācībā jums paskaidros, kā skatīt šo failu un noteikt, kurš ir mēģinājis vai pieteicies datorā.
1. Instalējiet SSH operētājsistēmā Linux
Šajā piemērā mēs esam izmantojuši Ubuntu 19 un CentOS 8, atcerieties, ka, piekļūstot, izmantojot SSH, mēs varam vispusīgi strādāt ar datoru:
PALIELINĀT
Instalējiet SSH vietnē CentOS 8Ja vēlaties instalēt SSH programmā CentOS 8, jums jāveic šādas darbības:
yum -y instalēt openssh-serveris openssh-klienti
PALIELINĀT
Instalējiet SSH UbuntuJa vēlaties to darīt Ubuntu 19, jums jāveic šādas darbības:
sudo apt instalēt openssh-server
2. Izmantojiet komandu grep, lai skatītu neveiksmīgos pieteikšanās datus Linux
1. darbība
Vienkāršākais veids, kā noteikt un skatīt pieteikšanās mēģinājumus, ir šāds:
grep "Neizdevās parole" /var/log/auth.log
2. solis
Mēs varam redzēt tādas detaļas kā:
- Lietotājs mēģina pieteikties
- IP adrese
- Pieslēgšanās mēģinājumam izmantotais ports
3. solis
Šo pašu rezultātu mēs atrodam ar komandu kaķis:
kaķis /var/log/auth.log | grep "Neizdevās parole"
4. solis
Ja vēlaties iegūt papildu informāciju par neveiksmīgajiem SSH pieteikumvārdiem operētājsistēmā Linux, mums ir jāveic šādas darbības. Kā redzam, detaļas ir daudz pilnīgākas.
egrep "Neizdevās | Neveiksme" /var/log/auth.log
Skatiet žurnālus RHEL vai CentOS 8RHEL vai CentOS 8 gadījumā visi žurnāli atrodas failā / var / log / Secure, lai to vizualizētu, mēs izpildīsim sekojošo:
egrep "Neizdevās | Neveiksme" / var / log / secure
PALIELINĀT
Mēs redzam, ka žurnāli tiek glabāti ar pilnu informāciju, ieskaitot reģistrētos sesiju nosaukumus (pareizi vai nē). Vēl viena iespēja skatīt neveiksmīgus SSH pieteikumvārdus CentOS ir izmantot vienu no šīm rindām:
grep "Neizdevās" / var / log / secure grep "autentifikācijas kļūme" / var / log / secure
PALIELINĀT
5. solis
Lai parādītu to IP adrešu sarakstu, kuras mēģināja piekļūt, bet nesekmīgi, mums jāizmanto šāda komanda:
grep "Neizdevās parole" /var/log/auth.log | awk '{print $ 11}' | uniq -c | kārtot -nr 6. darbībaJaunākajos Linux izplatījumos (piemēram, Ubuntu 19) ir iespējams piekļūt izpildlaika žurnāla failam, kuru Systemd pārvalda ar komandu journalctl, ja mēs vēlamies redzēt neveiksmīgos SSH pieteikšanās žurnālus, mēs izmantosim komandu grep, lai filtrētu rezultāti šādi:
journalctl _SYSTEMD_UNIT = ssh.pakalpojums | egrep "Neizdevās | Neveiksme" (Ubuntu) journalctl _SYSTEMD_UNIT = sshd.service | egrep "Neizdevās | Neveiksme" (RHEL, CentOS)
Vietnē CentOSCentOS mēs varam izmantot arī sekojošo:
journalctl _SYSTEMD_UNIT = sshd.pakalpojums | grep "mazspēja" journalctl _SYSTEMD_UNIT = sshd.pakalpojums | grep "Neizdevās"
Mēs varam redzēt, kā apskatīt katru neveiksmīgo SSH pieteikšanās mēģinājumu, un, pamatojoties uz to, veikt attiecīgos drošības pasākumus, lai saglabātu pakalpojumu pieejamību.
