Днес откриваме различни начини за безопасно свързване към нашите сървъри за изпълнение на задачи по поддръжка и поддръжка или за проверка на състоянието им. Тъй като не винаги можем да бъдем директно на физическото място на този най -практичен и често срещан начин за достъп до сървъра, това е възможно отдалечено чрез SSH протокола.
SSH (Secure SHell) е разработен като протокол, който позволява установяване на връзки между две системи въз основа на клиент / сървърната архитектура, улеснявайки, че като администратори или потребители можем да се свържем отдалечено със сървъра или компютъра, едно от най -забележителните предимства на SSH е, че Той е отговорен за криптиране на сесията на връзката за повишаване на сигурността, като предотвратява достъпа на нападателите до некриптирани пароли.
Сега всяко влизане или опит за достъп до сървъра с помощта на SSH се регистрира и съхранява в лог файл от демона rsyslog в Linux, така че да бъде възможно да се получи достъп и да се потвърди подробно кой, кога и състоянието на стартирането на сесията позволяваща много по -пълна задача за одит и контрол.
В този урок Solvetic ще ви обясни как да видите този файл и да определите кой е опитал или влезл в компютъра.
1. Инсталирайте SSH на Linux
За този пример използвахме Ubuntu 19 и CentOS 8, не забравяйте, че при достъп чрез SSH можем да работим цялостно на компютъра:
Увеличете
Инсталирайте SSH на CentOS 8Ако искате да инсталирате SSH в CentOS 8, трябва да изпълните следното:
yum -y инсталирайте openssh-сървър openssh-клиенти
Увеличете
Инсталирайте SSH на UbuntuАко искате да го направите в Ubuntu 19, трябва да изпълните следното:
sudo apt инсталирате openssh-сървър
2. Използвайте командата grep, за да видите неуспешни влизания в Linux
Етап 1
Най -простият начин за определяне и преглед на опитите за влизане е като изпълните следното:
grep "Неуспешна парола" /var/log/auth.log
Стъпка 2
Можем да видим подробности като:
- Потребител се опитва да влезе
- IP адрес
- Порт, използван за опит за влизане
Стъпка 3
Намираме същия резултат с командата cat:
cat /var/log/auth.log | grep "Неуспешна парола"
Стъпка 4
В случай, че искате да получите допълнителна информация за неуспешните SSH влизания в Linux, трябва да изпълним следното. Както виждаме, детайлите са много по -пълни.
egrep "Неуспешно | Неуспешно" /var/log/auth.log
Преглеждайте регистрационните файлове в RHEL или CentOS 8В случай на RHEL или CentOS 8 всички регистрационни файлове се помещават в / var / log / secure файл, за тяхната визуализация ще изпълним следното:
egrep "Неуспешно | Неуспешно" / var / log / secure
Увеличете
Виждаме, че регистрационните файлове се съхраняват с пълна информация, включително регистрирани имена на сесии (правилни или не). Друга възможност за преглед на неуспешни SSH влизания в CentOS е да използвате един от следните редове:
grep "Неуспешно" / var / log / secure grep "неуспешно удостоверяване" / var / log / secure
Увеличете
Стъпка 5
За да покажем списъка с IP адреси, които се опитаха да получат достъп, но бяха неуспешни, трябва да използваме следната команда:
grep "Неуспешна парола" /var/log/auth.log | awk '{печат $ 11}' | uniq -c | сортиране -nr Стъпка 6В най -актуалните дистрибуции на Linux (като Ubuntu 19) е възможен достъп до лог файла по време на изпълнение, който Systemd управлява с командата journalctl, ако искаме да видим неуспешните регистрационни файлове за SSH, ще използваме командата grep, за да филтрираме резултати като този:
journalctl _SYSTEMD_UNIT = ssh.service | egrep "Failed | Failure" (Ubuntu) journalctl _SYSTEMD_UNIT = sshd.service | egrep "Failed | Failure" (RHEL, CentOS)
На CentOSВ CentOS можем да използваме и следното:
journalctl _SYSTEMD_UNIT = sshd.service | grep "провал" journalctl _SYSTEMD_UNIT = sshd.service | grep "Неуспешно"
Можем да видим как да преглеждаме всеки неуспешен опит за влизане в SSH и въз основа на това да вземем съответните мерки за сигурност, за да запазим наличността на услугите.
