Si të gjeni të gjitha përpjekjet e dështuara të hyrjes SSH në Linux
Çdo përpjekje për t'u identifikuar në serverin SSH gjurmohet dhe regjistrohet në një skedar log nga komanda grep.
Për të shfaqur një listë të hyrjeve të dështuara të SSH në Linux, lëshoni disa nga komandat e paraqitura në këtë udhëzues. Sigurohuni që këto komanda të ekzekutohen me privilegje rrënjësore.
Komanda më e thjeshtë për të renditur të gjitha hyrjet e dështuara të SSH është ajo e treguar më poshtë.
# grep "Failed password" /var/log/auth.log
I njëjti rezultat mund të arrihet edhe duke lëshuar komandën cat.
# cat /var/log/auth.log | grep "Failed password"
Për të shfaqur informacion shtesë në lidhje me hyrjet e dështuara të SSH, lëshoni komandën siç tregohet në shembullin e mëposhtëm.
# egrep "Failed|Failure" /var/log/auth.log
Në CentOS ose RHEL, seancat e dështuara SSH regjistrohen në skedarin /var/log/secure. Lëshoni komandën e mësipërme kundër këtij skedari regjistri për të identifikuar hyrjet e dështuara të SSH.
# egrep "Failed|Failure" /var/log/secure
Një version pak i modifikuar i komandës së mësipërme për të shfaqur hyrjet e dështuara të SSH në CentOS ose RHEL është si më poshtë.
# grep "Failed" /var/log/secure
# grep "authentication failure" /var/log/secure
Për të shfaqur një listë të të gjitha adresave IP që u përpoqën dhe nuk arritën të identifikoheshin në serverin SSH së bashku me numrin e përpjekjeve të dështuara të secilës adresë IP, lëshoni komandën e mëposhtme.
# grep "Failed password" /var/log/auth.log | awk ‘{print $11}’ | uniq -c | sort -nr
Në shpërndarjet më të reja Linux mund të kërkoni skedarin e regjistrimit të kohës së ekzekutimit të mbajtur nga Systemd daemon nëpërmjet komandës journalctl. Për të shfaqur të gjitha përpjekjet e dështuara të hyrjes në SSH, duhet të futni rezultatin përmes filtrit grep, siç ilustrohet në shembujt e mëposhtëm të komandës.
# journalctl _SYSTEMD_UNIT=ssh.service | egrep "Failed|Failure"
# journalctl _SYSTEMD_UNIT=sshd.service | egrep "Failed|Failure" #In RHEL, CentOS
Në CentOS ose RHEL, zëvendësoni njësinë demon SSH me sshd.service, siç tregohet në shembujt e mëposhtëm të komandës.
# journalctl _SYSTEMD_UNIT=sshd.service | grep "failure"
# journalctl _SYSTEMD_UNIT=sshd.service | grep "Failed"
Pasi të keni identifikuar adresat IP që godasin shpesh serverin tuaj SSH në mënyrë që të identifikoheni në sistem me llogari përdoruesish të dyshimtë ose llogari përdoruesish të pavlefshëm, duhet të përditësoni rregullat e murit të zjarrit të sistemit tuaj për të fail2ban për të menaxhuar këto sulme.