Bugün, bakım ve destek görevlerini gerçekleştirmek veya bunların durumunu kontrol etmek için sunucularımıza güvenli bir şekilde bağlanmanın farklı yollarını buluyoruz. Sunucuya erişmenin bu en pratik ve yaygın yolu her zaman doğrudan fiziksel konumunda olamadığımız için, SSH protokolü aracılığıyla uzaktan mümkündür.
SSH (Secure Shell), istemci/sunucu mimarisine dayalı olarak iki sistem arasında bağlantı kurulmasını sağlayan bir protokol olarak geliştirilmiş olup, yönetici veya kullanıcı olarak sunucuya veya bilgisayara uzaktan bağlanabilmemizi kolaylaştırır, SSH'nin en önemli avantajlarından biridir. Saldırganların şifrelenmemiş parolalara erişmesini engelleyerek güvenliği artırmak için bağlantı oturumunu şifrelemekten sorumludur.
Artık, SSH kullanarak sunucuya her oturum açma veya erişim girişimi, Linux'ta rsyslog arka plan programı tarafından günlüğe kaydedilir ve bir günlük dosyasında saklanır, böylece ona erişmek ve oturumun başlangıcının kim, ne zaman ve durumunu ayrıntılı olarak doğrulamak mümkün olacaktır. çok daha eksiksiz bir denetim ve kontrol görevine izin verir.
Solvetic, bu öğreticide size bu dosyayı nasıl görüntüleyeceğinizi ve bilgisayarda kimin denediğini veya oturum açtığını belirleyecektir.
1. Linux'ta SSH'yi yükleyin
Bu örnek için Ubuntu 19 ve CentOS 8'i kullandık, SSH üzerinden erişirken bilgisayarda kapsamlı bir şekilde çalışabileceğimizi unutmayın:
BÜYÜT
CentOS 8'e SSH yükleyinSSH'yi CentOS 8'e kurmak istiyorsanız aşağıdakileri uygulamalısınız:
yum -y openssh-server openssh-clients'ı kurun
BÜYÜT
Ubuntu'ya SSH yükleyinUbuntu 19'da yapmak istiyorsanız aşağıdakileri uygulamalısınız:
sudo apt install openssh sunucusu
2. Linux'ta başarısız oturumları görüntülemek için grep komutunu kullanın
Aşama 1
Oturum açma denemelerini belirlemenin ve görüntülemenin en basit yolu aşağıdakileri çalıştırmaktır:
grep "Başarısız parola" /var/log/auth.log
Adım 2
Aşağıdaki gibi ayrıntıları görebiliriz:
- Kullanıcı oturum açmaya çalışıyor
- IP adresi
- Oturum açma girişimi için kullanılan bağlantı noktası
Aşama 3
Aynı sonucu cat komutuyla da buluruz:
cat /var/log/auth.log | grep "Başarısız parola"
4. Adım
Linux'ta başarısız SSH oturumları hakkında ek bilgi almak istemeniz durumunda, aşağıdakileri uygulamamız gerekir. Gördüğümüz gibi detaylar çok daha eksiksiz.
egrep "Başarısız | Hata" /var/log/auth.log
Günlükleri RHEL veya CentOS 8'de görüntüleyinRHEL veya CentOS 8 durumunda, tüm günlükler / var / log / güvenli dosyasında bulunur, görselleştirmeleri için aşağıdakileri uygulayacağız:
egrep "Başarısız | Hata" / var / log / güvenli
BÜYÜT
Kayıtların kayıtlı oturum adları (doğru veya yanlış) dahil tüm ayrıntılarıyla tutulduğunu görüyoruz. CentOS'ta başarısız SSH oturumlarını görüntülemek için başka bir seçenek de aşağıdaki satırlardan birini kullanmaktır:
grep "Başarısız" / var / log / güvenli grep "kimlik doğrulama hatası" / var / log / güvenli
BÜYÜT
Adım 5
Erişmeye çalışan ancak başarısız olan IP adreslerinin listesini görüntülemek için aşağıdaki komutu kullanmalıyız:
grep "Başarısız parola" /var/log/auth.log | awk '{baskı $ 11}' | tek -c | sıralama -nr 6. AdımEn güncel Linux dağıtımlarında (Ubuntu 19 gibi) Journalctl komutu ile Systemd'in yönettiği runtime log dosyasına ulaşmak mümkündür, eğer başarısız olan SSH login loglarını görmek istiyorsak grep komutunu kullanarak filtrelemek için kullanacağız. bunun gibi sonuçlar:
dergictl _SYSTEMD_UNIT = ssh.service | egrep "Başarısız | Hata" (Ubuntu) Journalctl _SYSTEMD_UNIT = sshd.service | egrep "Başarısız | Hata" (RHEL, CentOS)
CentOS'taCentOS'ta aşağıdakileri de kullanabiliriz:
dergictl _SYSTEMD_UNIT = sshd.service | grep "arıza" dergictl _SYSTEMD_UNIT = sshd.service | grep "Başarısız"
Başarısız olan her SSH oturum açma girişiminin nasıl görüntüleneceğini görebilir ve buna dayanarak hizmetlerin kullanılabilirliğini korumak için ilgili güvenlik önlemlerini alabiliriz.
