我想看看是否有人试图通过SSH对我的Ubuntu 12.04服务器进行暴力破解登录。我如何查看是否发生了这样的活动?
所有的登录尝试都会被记录到/var/log/auth.log
。
打开终端,输入以下内容;如果超过1页,您可以上下滚动;输入q
退出:
grep sshd.\*Failed /var/log/auth.log | less
grep sshd.*Did /var/log/auth.log | less
示例:
8月5日22:19:10 izxvps sshd[7748]: 未收到来自70.91.222.121的身份验证字符串 8月10日19:39:49 izxvps sshd[1919]: 未收到来自50.57.168.154的身份验证字符串 8月13日23:08:04 izxvps sshd[3562]: 未收到来自87.216.241.19的身份验证字符串 8月17日15:49:07 izxvps sshd[5350]: 未收到来自211.22.67.238的身份验证字符串 8月19日06:28:43 izxvps sshd[5838]: 未收到来自59.151.37.10的身份验证字符串
fail2ban
。他们的维基比我更好地解释了它的功能。
获取保护非常简单,只需执行Fail2ban
扫描日志文件(例如/var/log/apache/error_log
),并禁止显示恶意迹象的IP地址,如过多的密码失败、寻找漏洞等。通常,Fail2Ban
会更新防火墙规则以拒绝指定时间内的IP地址,但也可以配置任何其他任意操作(例如发送电子邮件或弹出光驱)。Fail2Ban
开箱即用,带有各种服务的过滤器(apache、curier、ssh等)。
sudo apt-get install fail2ban
命令。/var/log/auth.log
,而不使用任何模式匹配命令,因为这些模式并不全面。然后,为了减轻风险,你可以使用像fail2ban这样的工具。Nov 25 07:11:32 Everything20170707 sshd[27216]: input_userauth_request: invalid user kali [preauth]
/var/log/secure
。 - lfender6445systemctl -eu sshd
来访问日志。 - alecdwm