- Ana Sayfa
- Günlük kaydı kılavuzu
- Linux oturum açma hatalarının analiz edilmesi
Linux oturum açma hatalarının analiz edilmesi
Bu sayfada
- Giriş
- SSH oturum açma hatalarını görüntülemek için adımlar
- SSH oturum açma hataları ile ilgili içgörüler edinme
Kullanıcı kimlik doğrulaması ağ güvenliğinin önemli bir parçasını oluşturur ve şüpheli kullanıcı davranışlarının tespit edilmesinde kullanıcının oturum açma girişimlerinin denetlenmesi esastır.
Oturum açma hataları aşağıdaki durumlarda oluşur:
- Kullanıcı kimlik bilgilerini yanlış belirttiğinde
- Kullanıcı belirli bir kaynakta oturum açma iznine sahip olmadığında.
Bir kullanıcı SSH kullanarak uzaktan bir sisteme bağlanmaya çalıştığında veya farklı bir kullanıcı olarak su komutunu çalıştırdığında gerçekleşen oturum açma hatası olayları, kritik oldukları ve bir yetkisiz erişim girişimine işaret edebileceklerinden bunların izlenmesi gerekir.
Bu makalede SSH oturum açma hatalarını görüntüleme yöntemleri detaylı bir şekilde açıklanmaktadır.
SSH oturum açma hatalarını görüntülemek için adımlar
Bir takılabilir kimlik doğrulama modülü (PAM) bu tür kimlik doğrulama olaylarını günlüğe kaydederek kötü amaçlı ve olağan dışı oturum açma işlemlerinin tespit edilebilmesini sağlar.
Burada başarısız bir oturum açma girişimi örneği verilmektedir.
pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.0.2.2
Failed password for invalid user robert from 10.0.2.2 port 4791 ssh2
pam_unix(sshd:auth): check pass; user unknown
PAM service(sshd) ignoring max retries; 6 > 3
Etkili sorun giderme için, bu tür kritik oturum açma girişimleri hızlıca belirlenerek bunlara uygun adımların atılması gerekir.
Aşağıda tüm başarısız SSH oturum açma girişimlerini bulmak için atılması gereken adımlar verilmiştir.
- Tüm başarısız SSH oturum açma girişimlerini listelemek için temel komut olarak # grep "Failed password" /var/log/auth.log kullanılır. Bu, şu cat komutuyla da sağlanabilir # cat /var/log/auth.log | grep "Failed password".
- Başarısız SSH oturum açma girişimleri hakkında ek bilgileri görüntülemek için şu komutu kullanın: # egrep "Failed|Failure" /var/log/auth.log
- SSH sunucusunda oturum açmayı deneyen ancak başarısız olan tüm IP adreslerinin listesini görüntülemek için şu komutu kullanın: # grep "Failed password" /var/log/auth.log | awk ‘{print $11}’ | uniq -c | sort -nr
Yukarıdaki olay kolayca analiz edilebilecek gibi görünse de işlemin tamamının manuel olarak gerçekleştirilmesi zaman alır ve oldukça zahmetlidir. Bir günlük yönetimi çözümü, başarısız SSH oturum açma girişimlerini kolayca analiz etme konusunda size yardımcı olabilir.
SSH oturum açma hataları ile ilgili içgörüler edinme
Kapsamlı bir günlük yönetimi çözümü olan EventLog Analyzer, Linux cihazlarından Syslog'ları toplar, otomatik olarak analiz eder ve başarısız SSH oturum açma girişimleri, SU oturum açma işlemleri, kullanıcı oturum açma eğilimleri ve daha fazlasını içeren gerekli içgörüleri sezgisel raporlar biçiminde sunar. Buradan EventLog Analyzer'ın Linux günlük izleme özelliği hakkında daha fazla bilgi edinebilirsiniz.
