"Es gibt kein Weiß oder Schwarz, es gibt nur Grautöne. Wir können nicht sagen, ob es gut oder schlecht ist."
Und manchmal müssen wir in die Graustufen eintauchen und nach Problemen suchen, bevor sie auftreten. Eine dieser Prüfungen könnte eine Suche nach fehlgeschlagenen SSH-Anmeldeversuchen sein. Glücklicherweise verfügt Ubuntu über eine Lösung, die einfach genug, aber leistungsstark genug ist, um die meisten Fälle zu erkennen, in denen jemand schwache Passwörter und Brute-Force-Angriffe zulässt.
Jeder Versuch, sich beim SSH-Server anzumelden, wird vom rsyslog-Daemon in einer Datei namens auth.log aufgezeichnet, die sich unter /var/log/auth.log befindet.
Administratoren können die Protokolle durchsuchen, um festzustellen, ob es seltsamen eingehenden Datenverkehr gibt. Eine Protokolldatei enthält viele Informationen im Klartext, aber es ist nicht einfach, alle Ausgaben zu lesen. Wir müssen lernen, wie man grep verwendet, um die Protokolldatei zu durchsuchen, und in diesem Beispiel konzentrieren wir uns auf fehlgeschlagene Versuche.
Installation von OpenSSH
OpenSSH ist ein Dienst, der sicheren Fernzugriff auf Systeme in Form eines Anwendungsschichtprotokolls bietet, es enthält auch das scp-Befehlszeilenprogramm. Melden Sie sich als Root-Benutzer an oder wechseln Sie zu einem Benutzer mit sudo-Berechtigungen und verwenden Sie dann den folgenden Befehl, um OpenSSH zu installieren:
sudo apt-get update
sudo apt-get install openssh-server -y
Dieser Befehl sollte OpenSSH und seine Abhängigkeiten installieren. Sie sollten sehen, dass auch zusätzliche Pakete installiert werden, da OpenSSH ziemlich viele benötigt, um richtig zu funktionieren.
Nach der Installation können Sie ssh aktivieren, indem Sie den folgenden Befehl im Terminalfenster eingeben:
sudo systemctl enable ssh
Sie sollten eine ähnliche Ausgabe wie das folgende Bild in Ihrem Terminalfenster sehen, wenn der Befehl erfolgreich war:
Die folgenden Befehle können verwendet werden, um SSH auf Ubuntu-Rechnern zu stoppen, falls Sie es deaktivieren möchten:
sudo systemctl stop ssh
Es kann erneut gestartet werden, indem Sie Folgendes ausführen:
sudo systemctl start ssh
Um zu überprüfen, ob der SSH-Server läuft, können Sie den folgenden Befehl verwenden:
sudo systemctl status ssh
Sie sollten eine ähnliche Ausgabe in Ihrem Terminal sehen:
Im obigen Screenshot sehen Sie, dass der SSH-Server bereits läuft und aktiviert ist, was bedeutet, dass er beim Booten ausgeführt wird.
So finden Sie alle fehlgeschlagenen SSH-Anmeldeversuche
Ein fehlgeschlagener Anmeldeversuch kann verschiedene Ursachen haben und nicht nur einen automatisierten Anmelde-Exploit. Ein fehlgeschlagener Anmeldeversuch kann passieren, wenn:
- Ein Benutzer kann sein Passwort falsch eingeben.
- Versuch, sich mit einem falschen Passwort anzumelden.
- Der Server ist einem Brute-Force-Angriff ausgesetzt und Hacker versuchen, das Passwort mit automatisierten Skripten zu erraten.
Der einfachste Weg, alle fehlgeschlagenen SSH-Anmeldeversuche aufzulisten, ist die Verwendung des folgenden Befehls:
grep "Failed password" /var/log/auth.log
Sie sollten eine ähnliche Ausgabe in Ihrem Terminal sehen:
Die folgenden Befehle können verwendet werden, um fehlgeschlagene SSH-Anmeldungen in CentOS oder RHEL in einer leicht modifizierten Version des obigen Befehls anzuzeigen:
grep "Failed" /var/log/secure
grep "authentication failure" /var/log/secure
Alternativ können wir die Protokolle mit dem Systemd-Daemon mit dem Befehl journalctl anzeigen:
journalctl _SYSTEMD_UNIT=ssh.service | egrep "Failed|Failure"
Um eine Liste aller IP-Adressen anzuzeigen, die für fehlgeschlagene SSH-Anmeldeversuche verantwortlich sind, mit der Anzahl der Versuche daneben, können Sie diesen Befehl verwenden:
grep "Failed password" /var/log/auth.log | awk ‘{print $11}’ | uniq -c | sort -nr Es ist unvermeidlich, dass von Zeit zu Zeit ein fehlgeschlagener Anmeldeversuch auftritt. Es bleibt jedoch entscheidend, die fehlgeschlagenen Anmeldungen bei Ihrem Server zu identifizieren. Es ist wichtig, die IP-Adressen zu identifizieren, die häufig auf Ihren SSH-Server zugreifen, und die erforderlichen Maßnahmen zu ergreifen.
Schlussfolgerung
In diesem Handbuch haben wir behandelt, wie Sie fehlgeschlagene SSH-Anmeldeversuche auf einem Linux-Computer finden. Wir haben auch einen anderen Ansatz kennengelernt, bei dem der Befehl journalctl verwendet wird. Wir hoffen, Sie fanden diesen Artikel hilfreich. Fühlen Sie sich frei, Ihr Feedback oder Ihre Fragen im Kommentarbereich zu hinterlassen.