Jinsi ya Kupata Majaribio Yote Yanayoshindwa Kuingia kwenye SSH kwenye Linux
Kila jaribio la kuingia kwa seva ya SSH hufuatiliwa na kurekodiwa kwenye faili ya kumbukumbu kwa amri ya grep.
Ili kuonyesha orodha ya walioshindwa kuingia katika SSH katika Linux, toa baadhi ya amri zilizowasilishwa katika mwongozo huu. Hakikisha kwamba amri hizi zinatekelezwa na haki za mizizi.
Amri rahisi zaidi ya kuorodhesha logi zote zilizoshindwa za SSH ni ile iliyoonyeshwa hapa chini.
# grep "Failed password" /var/log/auth.log
Matokeo sawa yanaweza pia kupatikana kwa kutoa amri ya paka.
# cat /var/log/auth.log | grep "Failed password"
Ili kuonyesha maelezo ya ziada kuhusu walioshindwa kuingia katika SSH, toa amri kama inavyoonyeshwa kwenye mfano ulio hapa chini.
# egrep "Failed|Failure" /var/log/auth.log
Katika CentOS au RHEL, vipindi vya SSH vilivyoshindwa vinarekodiwa katika /var/log/secure faili. Toa amri iliyo hapo juu dhidi ya faili hii ya kumbukumbu ili kutambua kuingia kwa SSH ambazo hazijafanikiwa.
# egrep "Failed|Failure" /var/log/secure
Toleo lililorekebishwa kidogo la amri iliyo hapo juu ili kuonyesha kuingia kwa SSH katika CentOS au RHEL ni kama ifuatavyo.
# grep "Failed" /var/log/secure # grep "authentication failure" /var/log/secure
Ili kuonyesha orodha ya anwani zote za IP ambazo zilijaribu na kushindwa kuingia kwenye seva ya SSH pamoja na idadi ya majaribio yasiyofaulu ya kila anwani ya IP, toa amri iliyo hapa chini.
# grep "Failed password" /var/log/auth.log | awk ‘{print $11}’ | uniq -c | sort -nr
Kwenye usambazaji mpya wa Linux unaweza kuuliza faili ya kumbukumbu ya wakati wa kukimbia inayodumishwa na Systemd daemon kupitia journalctl amri. Ili kuonyesha majaribio yote ya kuingia kwa SSH yaliyoshindwa unapaswa kusambaza matokeo kupitia kichungi cha grep, kama inavyoonyeshwa kwenye mifano ya amri iliyo hapa chini.
# journalctl _SYSTEMD_UNIT=ssh.service | egrep "Failed|Failure" # journalctl _SYSTEMD_UNIT=sshd.service | egrep "Failed|Failure" #In RHEL, CentOS
Katika CentOS au RHEL, badilisha kitengo cha daemon cha SSH na sshd.service, kama inavyoonyeshwa katika mifano ya amri iliyo hapa chini.
# journalctl _SYSTEMD_UNIT=sshd.service | grep "failure" # journalctl _SYSTEMD_UNIT=sshd.service | grep "Failed"
Baada ya kutambua anwani za IP ambazo mara nyingi hugonga seva yako ya SSH ili kuingia kwenye mfumo ukitumia akaunti za watumiaji wanaotiliwa shaka au akaunti zisizo sahihi za mtumiaji, unapaswa kusasisha sheria za mfumo wako wa ngome ili kushindwa2ban kudhibiti mashambulizi haya.