Šiandien mes randame įvairius būdus, kaip saugiai prisijungti prie savo serverių, kad galėtume atlikti priežiūros ir palaikymo užduotis arba patikrinti to būseną. Kadangi mes ne visada galime tiesiogiai būti fizinėje vietoje, tai yra pats praktiškiausias ir labiausiai paplitęs būdas pasiekti serverį, tai įmanoma nuotoliniu būdu naudojant SSH protokolą.
SSH (Secure SHell) buvo sukurtas kaip protokolas, leidžiantis užmegzti ryšius tarp dviejų sistemų, pagrįstų kliento / serverio architektūra, taip palengvinant tai, kad kaip administratoriai ar vartotojai galime nuotoliniu būdu prisijungti prie serverio ar kompiuterio, o tai yra vienas ryškiausių SSH privalumų Jis yra atsakingas už ryšio seanso šifravimą, kad padidintų saugumą, neleisdamas užpuolikams pasiekti nešifruotų slaptažodžių.
Dabar kiekvieną prisijungimą ar bandymą pasiekti serverį naudojant SSH registruoja ir saugo žurnalo faile „rsyslog“ demonas „Linux“, kad būtų galima jį pasiekti ir išsamiai patvirtinti, kas, kada ir seanso paleidimo būsena leidžia atlikti daug išsamesnę audito ir kontrolės užduotį.
Šiame vadove Solvetic jums paaiškins, kaip peržiūrėti šį failą ir nustatyti, kas bandė ar prisijungė prie kompiuterio.
1. Įdiekite SSH „Linux“
Šiame pavyzdyje mes naudojome „Ubuntu 19“ ir „CentOS 8“, atminkite, kad prisijungę per SSH galime visapusiškai dirbti kompiuteriu:
DIDELIS
Įdiekite SSH „CentOS 8“Jei norite įdiegti SSH „CentOS 8“, turite atlikti šiuos veiksmus:
yum -y įdiegti openssh-server openssh-klientus
DIDELIS
Įdiekite SSH „Ubuntu“Jei norite tai padaryti „Ubuntu 19“, turite atlikti šiuos veiksmus:
sudo apt install openssh-server
2. Naudokite komandą grep, kad peržiūrėtumėte nesėkmingus prisijungimus prie „Linux“
1 žingsnis
Paprasčiausias būdas nustatyti ir peržiūrėti prisijungimo bandymus yra vykdant šiuos veiksmus:
grep „Nepavyko slaptažodis“ /var/log/auth.log
2 žingsnis
Mes galime pamatyti tokias detales kaip:
- Vartotojas bando prisijungti
- IP adresas
- Prievadas, naudojamas bandant prisijungti
3 žingsnis
Tą patį rezultatą randame su katės komanda:
katė /var/log/auth.log | grep „Nepavyko slaptažodis“
4 žingsnis
Jei norite gauti papildomos informacijos apie nepavykusius SSH prisijungimus „Linux“, turime atlikti šiuos veiksmus. Kaip matome, detalės yra daug išsamesnės.
egrep "Nepavyko | Nepavyko" /var/log/auth.log
Peržiūrėkite žurnalus RHEL arba CentOS 8„RHEL“ ar „CentOS 8“ atveju visi žurnalai yra saugomi faile / var / log / secure, norėdami juos vizualizuoti, atliksime šiuos veiksmus:
egrep "Nepavyko | Nepavyko" / var / log / secure
DIDELIS
Matome, kad žurnaluose saugoma visa išsami informacija, įskaitant registruotus seansų pavadinimus (teisingus ar ne). Kita galimybė peržiūrėti nesėkmingus SSH prisijungimus „CentOS“ yra naudoti vieną iš šių eilučių:
grep "Nepavyko" / var / log / secure grep "autentifikavimo klaida" / var / log / secure
DIDELIS
5 žingsnis
Norėdami parodyti IP adresų, kurie bandė pasiekti, bet nepavyko, sąrašą, turime naudoti šią komandą:
grep "Nepavyko slaptažodis" /var/log/auth.log | awk '{print $ 11}' | uniq -c | rūšiuoti -nr 6 žingsnisNaujausiuose „Linux“ paskirstymuose (pvz., „Ubuntu 19“) galima pasiekti vykdymo žurnalo failą, kurį „Systemd“ tvarko naudodami žurnalctl komandą, jei norime pamatyti nepavykusius SSH prisijungimo žurnalus, norėdami filtruoti naudosime komandą grep rezultatai tokie:
journalctl _SYSTEMD_UNIT = ssh.paslauga | egrep "Nepavyko | Nepavyko" (Ubuntu) journalctl _SYSTEMD_UNIT = sshd.service | egrep "Nepavyko | Nepavyko" (RHEL, CentOS)
„CentOS“„CentOS“ taip pat galime naudoti šiuos dalykus:
journalctl _SYSTEMD_UNIT = sshd.service | grep "nesėkmė" journalctl _SYSTEMD_UNIT = sshd.service | grep "Nepavyko"
Mes matome, kaip peržiūrėti kiekvieną nepavykusį SSH prisijungimo bandymą, ir, remdamiesi tuo, imamės atitinkamų saugumo priemonių, kad išsaugotume paslaugų prieinamumą.
