![Kā konfigurēt FirewallD RHEL, Rocky un AlmaLinux](/f/18cabae00e0ac3a36cda7dfcbf8bdf8a.png?width=100&height=100)
Katrs mēģinājums pieteikties SSH serverī tiek izsekots un reģistrēts žurnāla failā rsyslog dēmons Linux. Visvienkāršākais mehānisms visu neveiksmīgo SSH pieteikšanās mēģinājumu uzskaitīšanai Linux ir žurnālfailu parādīšanas un filtrēšanas kombinācija, izmantojot kaķu komanda vai grep komanda.
Lai parādītu neveiksmīgo SSH pieteikumvārdu sarakstu Linux, izdodiet dažas šajā rokasgrāmatā sniegtās komandas. Pārliecinieties, vai šīs komandas tiek izpildītas ar root tiesībām.
Vienkāršākā komanda visu neveiksmīgo SSH pieteikumvārdu uzskaitīšanai ir tā, kas parādīta zemāk.
# grep "Neizdevās parole" /var/log/auth.log.
To pašu rezultātu var sasniegt, izdodot kaķu komanda.
# kaķis /var/log/auth.log | grep "Neizdevās parole"
Lai parādītu papildu informāciju par neveiksmīgajiem SSH pieteikumvārdiem, izdodiet komandu, kā parādīts zemāk esošajā piemērā.
# egrep "Neizdevās | Neveiksme" /var/log/auth.log.
In CentOS
vai RHEL, neveiksmīgās SSH sesijas tiek ierakstītas /var/log/secure failu. Izlaidiet iepriekš minēto komandu pret šo žurnāla failu, lai identificētu neveiksmīgas SSH pieteikšanās.# egrep "Neizdevās | Neveiksme"/var/log/secure.
Nedaudz modificēta iepriekš minētās komandas versija, lai parādītu neveiksmīgus SSH pieteikumvārdus CentOS vai RHEL, ir šāda.
# grep "Neizdevās"/var/log/secure. # grep "autentifikācijas kļūme"/var/log/secure.
Lai parādītu sarakstu ar visām IP adresēm, kuras mēģināja un nespēja pieteikties SSH serverī, kā arī katras IP adreses neveiksmīgo mēģinājumu skaitu, izdodiet tālāk norādīto komandu.
# grep "Neizdevās parole" /var/log/auth.log | awk ‘{print $ 11}’ | uniq -c | kārtot -nr.
Jaunākos Linux izplatījumos varat veikt vaicājumus izpildlaika žurnāla failā, ko uztur Systemd dēmons, izmantojot journalctl komandu. Lai parādītu visus neveiksmīgos SSH pieteikšanās mēģinājumus, rezultāts jānosūta caur grep filtru, kā parādīts zemāk sniegtajos komandu piemēros.
# journalctl _SYSTEMD_UNIT = ssh.pakalpojums | egrep "Neizdevās | Neveiksme" # journalctl _SYSTEMD_UNIT = sshd.pakalpojums | egrep "Neizdevās | Neveiksme" #In RHEL, CentOS
In CentOS vai RHEL, nomainiet SSH dēmonu vienību ar sshd.pakalpojums, kā parādīts zemāk sniegtajos komandu piemēros.
# journalctl _SYSTEMD_UNIT = sshd.pakalpojums | grep "neveiksme" # journalctl _SYSTEMD_UNIT = sshd.pakalpojums | grep "Neizdevās"
Kad esat identificējis IP adreses, kas bieži skar jūsu SSH serveri, lai pieteiktos sistēmā ar aizdomīgiem lietotāju kontiem vai nederīgiem lietotāju kontiem, jums jāatjaunina sistēmas ugunsmūra noteikumi uz bloķēt neveiksmīgos SSH mēģinājumus IP adreses vai izmantojiet specializētu programmatūru, piemēram, fail2ban lai pārvaldītu šos uzbrukumus.