Heute finden wir verschiedene Möglichkeiten, um eine sichere Verbindung zu unseren Servern herzustellen, um Wartungs- und Supportaufgaben durchzuführen oder den Status derselben zu überprüfen. Da wir uns nicht immer direkt am physischen Standort befinden können, ist dies der praktischste und gebräuchlichste Weg, um auf den Server zuzugreifen, über das SSH-Protokoll aus der Ferne möglich.
SSH (Secure SHell) wurde als Protokoll entwickelt, das den Aufbau von Verbindungen zwischen zwei Systemen basierend auf der Client / Server-Architektur ermöglicht, was es uns als Administratoren oder Benutzern erleichtert, eine Remote-Verbindung zum Server oder Computer herzustellen, einer der bemerkenswertesten Vorteile von SSH ist, dass es für die Verschlüsselung der Verbindungssitzung verantwortlich ist, um die Sicherheit zu erhöhen, indem Angreifer daran gehindert werden, auf unverschlüsselte Kennwörter zuzugreifen.
Jetzt wird jede Anmeldung oder jeder Versuch, mit SSH auf den Server zuzugreifen, protokolliert und vom rsyslog-Daemon unter Linux in einer Protokolldatei gespeichert, damit es möglich ist, darauf zuzugreifen und detailliert zu überprüfen, wer, wann und den Status des Sitzungsstarts Dies ermöglicht eine viel umfassendere Prüfungs- und Kontrollaufgabe.
Solvetic erklärt Ihnen in diesem Tutorial, wie Sie diese Datei anzeigen und feststellen können, wer versucht hat oder sich am Computer angemeldet hat.
1. SSH unter Linux installieren
Für dieses Beispiel haben wir Ubuntu 19 und CentOS 8 verwendet, denken Sie daran, dass wir beim Zugriff über SSH umfassend am Computer arbeiten können:
VERGRÖSSERN
Installieren Sie SSH auf CentOS 8Wenn Sie SSH in CentOS 8 installieren möchten, müssen Sie Folgendes ausführen:
yum -y install openssh-server openssh-clients
VERGRÖSSERN
SSH unter Ubuntu installierenWenn Sie dies in Ubuntu 19 tun möchten, müssen Sie Folgendes ausführen:
sudo apt install openssh-server
2. Verwenden Sie den grep-Befehl, um fehlgeschlagene Anmeldungen unter Linux anzuzeigen
Schritt 1
Am einfachsten können Sie Anmeldeversuche ermitteln und anzeigen, indem Sie Folgendes ausführen:
grep "Passwort fehlgeschlagen" /var/log/auth.log
Schritt 2
Wir können Details sehen wie:
- Benutzer versucht sich anzumelden
- IP Adresse
- Port, der für den Anmeldeversuch verwendet wurde
Schritt 3
Das gleiche Ergebnis finden wir mit dem cat-Befehl:
cat /var/log/auth.log | grep "Passwort fehlgeschlagen"
Schritt 4
Falls Sie zusätzliche Informationen über die fehlgeschlagenen SSH-Logins in Linux erhalten möchten, müssen wir Folgendes ausführen. Wie wir sehen, sind die Details viel vollständiger.
egrep "Fehlgeschlagen | Fehler" /var/log/auth.log
Protokolle in RHEL oder CentOS 8 anzeigenIm Fall von RHEL oder CentOS 8 sind alle Protokolle in der Datei /var/log/secure gespeichert, für deren Visualisierung führen wir Folgendes aus:
egrep "Failed | Failure" / var / log / secure
VERGRÖSSERN
Wir sehen, dass die Protokolle mit vollständigen Details einschließlich registrierter Sitzungsnamen (korrekt oder nicht) geführt werden. Eine andere Möglichkeit, fehlgeschlagene SSH-Anmeldungen in CentOS anzuzeigen, besteht darin, eine der folgenden Zeilen zu verwenden:
grep "Failed" / var / log / secure grep "authentication failure" / var / log / secure
VERGRÖSSERN
Schritt 5
Um die Liste der IP-Adressen anzuzeigen, die versucht haben, darauf zuzugreifen, aber nicht erfolgreich waren, müssen wir den folgenden Befehl verwenden:
grep "Passwort fehlgeschlagen" /var/log/auth.log | awk '{print $ 11}' | uniq -c | sortieren -nr Schritt 6In den aktuellsten Linux-Distributionen (wie Ubuntu 19) ist es möglich, auf die Laufzeitprotokolldatei zuzugreifen, die Systemd mit dem Befehl journalctl verwaltet. Wenn wir die fehlgeschlagenen SSH-Anmeldeprotokolle sehen möchten, verwenden wir den Befehl grep, um die Ergebnisse wie folgt:
journalctl _SYSTEMD_UNIT = ssh.service | egrep "Failed | Failure" (Ubuntu) journalctl _SYSTEMD_UNIT = sshd.service | egrep "Fehlgeschlagen | Fehler" (RHEL, CentOS)
Auf CentOSIn CentOS können wir auch Folgendes verwenden:
journalctl _SYSTEMD_UNIT = sshd.service | grep "failure" journalctl _SYSTEMD_UNIT = sshd.service | grep "Fehlgeschlagen"
Wir können sehen, wie Sie jeden fehlgeschlagenen SSH-Anmeldeversuch anzeigen und basierend darauf die entsprechenden Sicherheitsmaßnahmen ergreifen, um die Verfügbarkeit der Dienste zu gewährleisten.
