ssh遠端登陸日誌分析
阿新 • • 發佈:2018-12-07
環境:CentOS (其他發行版略有不同)
本文適合具備linux基礎的同學
確認自己的登入資訊以及目前登陸伺服器的使用者
列出所有登陸賬戶
w
列出當前賬戶
who am i
1、檢視成功登陸日誌
指令:
cd /var/log
less secure | grep 'Accepted'
正常登陸狀態日誌:
月份 日期 時分秒 伺服器主機名 程式(sshd或則su) 模組 詳細資訊 Nov 19 09:36:56 iz2**9w***8l***vz sshd[2***]: Accepted password for root from 1*.*.*.* port *** ssh2 Nov 19 09:36:56 iz2**9w***8l***vz sshd[2***]: pam_unix(sshd:session): session opened for user root by (uid=*)
正常退出登入日誌:
Aug 8 02:01:38 i****y sshd[18252]: pam_unix(sshd:session): session closed for user root
2、連線到伺服器,提示輸入密碼時取消了
日誌:
Aug 8 02:31:03 imzcy sshd[19046]: Received disconnect from 192.*.*.*: 13: The user canceled authentication.
3、密碼輸入錯誤
日誌:
Aug 8 02:33:28 imzcy sshd[19125]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.*.*.* user=root Aug 8 02:33:31 imzcy sshd[19125]: Failed password for root from 192.*.*.* port 57994 ssh2
4、密碼錯誤次數太多
日誌:
Nov 19 09:36:56 imzcy sshd[19125]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.217.10 user=root Nov 19 09:36:56 imzcy sshd[19125]: Failed password for root from 192.168.217.10 port 57994 ssh2 Nov 19 09:36:56 imzcy last message repeated 3 times Nov 19 09:36:56 imzcy last message repeated 2 times Nov 19 09:36:56 imzcy sshd[19126]: Disconnecting: Too many authentication failures for root Nov 19 09:36:56 imzcy sshd[19125]: Failed password for root from 192.168.217.10 port 57994 ssh2 Nov 19 09:36:56 imzcy sshd[19125]: PAM 6 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.217.10 user=root Nov 19 09:36:56 imzcy sshd[19125]: PAM service(sshd) ignoring max retries; 7 > 3
如果出現爆破手最簡單的處理方式先禁用對方ip,或者限制到某臺機器可以訪問
如:我們只允許192.168.0.3的機器進行SSH連線
[[email protected] ~]# iptables -A INPUT -s 192.168.0.3 -p tcp --dport 22 -j ACCEPT
更具體的操作可以使用iptables設定相應規則