- Главная
- Руководство по ведению журналов
- Как анализировать ошибки входа в систему Linux
Как анализировать ошибки входа в систему Linux
На этой странице
- Введение
- Действия по просмотру ошибок входа по SSH
- Получение информации об ошибках входа по SSH
Аутентификация пользователей является важной частью безопасности сети, а аудит попыток входа пользователей в систему необходим для выявления подозрительного поведения пользователей.
Сбой входа в систему происходит:
- Когда пользователь предоставляет неверные учетные данные
- Когда у пользователя нет разрешения на вход в определенный ресурс.
События ошибок входа в систему, возникающие, когда пользователь пытается удаленно подключиться к системе с помощью SSH или запускает команду su от имени другого пользователя, необходимо отслеживать, поскольку они критически важны и могут указывать на попытку вторжения.
В этой статье подробно описываются методы просмотра ошибок входа по протоколу SSH.
Действия по просмотру ошибок входа по SSH
Подключаемый модуль аутентификации (PAM) регистрирует подобные события аутентификации и помогает выявлять вредоносные и необычные попытки входа в систему.
Вот пример неудачной попытки входа в систему.
pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.0.2.2
Failed password for invalid user robert from 10.0.2.2 port 4791 ssh2
pam_unix(sshd:auth): check pass; user unknown
PAM service(sshd) ignoring max retries; 6 > 3
Для эффективного устранения неполадок необходимо быстро выявлять все такие критические входы в систему и принимать соответствующие меры.
Ниже приведены шаги по поиску всех неудачных попыток входа по протоколу SSH.
- Основная команда для вывода списка всех неудачных попыток входа по SSH: # grep "Failed password" /var/log/auth.log. Того же самого можно добиться, выполнив команду cat # cat /var/log/auth.log | grep "Failed password".
- Чтобы отобразить дополнительную информацию о неудачных попытках входа по SSH, используйте следующую команду: # egrep "Failed|Failure" /var/log/auth.log
- Чтобы отобразить список всех IP-адресов, с которых была предпринята попытка входа в систему, но не удалось войти на SSH-сервер, используйте следующую команду: # grep "Failed password" /var/log/auth.log | awk '{print $11}' | uniq -c | sort -nr
Хотя анализ вышеописанного события может показаться простым, выполнение всех операций вручную - трудоемкий и утомительный процесс. Решение для управления журналами поможет с легкостью проанализировать неудачные попытки входа по протоколу SSH.
Получение информации об ошибках входа по SSH
EventLog Analyzer - комплексное решение для управления журналами, которое собирает журналы системы с устройств Linux, автоматически анализирует их и предоставляет необходимые сведения, например о неудачных попытках входа по SSH, входах SU, тенденциях входа пользователей и многом другом, в виде интуитивно понятных отчетов. Дополнительная информация о возможностях мониторинга журналов Linux с помощью EventLog Analyzer представлена здесь.
