Saya ingin melihat apakah seseorang telah mencoba masuk dengan paksa ke server Ubuntu 12.04 saya melalui SSH. Bagaimana saya bisa melihat jika kegiatan tersebut telah terjadi?
134
Semua upaya masuk dicatat /var/log/auth.log
.
Buka terminal, dan ketik di bawah ini; jika lebih dari 1 halaman Anda akan dapat menggulir ke atas dan ke bawah; ketik q
untuk keluar:
grep sshd.\*Failed /var/log/auth.log | less
Ini adalah contoh nyata dari salah satu VPS saya:
18 Agustus 11:00:57 izxvps sshd [5657]: Gagal kata sandi untuk root dari 95.58.255.62 port 38980 ssh2 18 Agustus 23:08:26 izxvps sshd [5768]: Gagal kata sandi untuk root dari port 91.205.189.15 38156 ssh2 18 Agustus 23:08:30 izxvps sshd [5770]: Gagal kata sandi untuk siapa pun dari 91.205.189.15 port 38556 ssh2 18 Agustus 23:08:34 izxvps sshd [5772]: Gagal kata sandi untuk tanda bintang pengguna yang tidak valid dari 91.205.189.15 port 38864 ssh2 18 Agustus 23:08:38 izxvps sshd [5774]: Gagal kata sandi untuk sjobeck pengguna yang tidak valid dari 91.205.189.15 port 39157 ssh2 18 Agustus 23:08:42 izxvps sshd [5776]: Gagal kata sandi untuk root dari port 91.205.189.15 39467 ssh2
Gunakan perintah ini:
grep sshd.*Did /var/log/auth.log | less
Contoh:
5 Agustus 22:19:10 izxvps sshd [7748]: Tidak menerima string identifikasi dari 70.91.222.121 10 Agustus 19:39:49 izxvps sshd [1919]: Tidak menerima string identifikasi dari 50.57.168.154 13 Agustus 23:08:04 izxvps sshd [3562]: Tidak menerima string identifikasi dari 87.216.241.19 17 Agustus 15:49:07 izxvps sshd [5350]: Tidak menerima string identifikasi dari 211.22.67.238 19 Agustus 06:28:43 izxvps sshd [5838]: Tidak menerima string identifikasi dari 59.151.37.10
/var/log/secure
systemctl -eu sshd
Saya berpendapat bahwa pemantauan log adalah solusi yang lemah terutama jika Anda memiliki kata sandi yang lemah pada akun. Upaya kasar sering mencoba setidaknya ratusan kunci per menit. Bahkan jika Anda memiliki tugas cron yang diatur untuk mengirim email kepada Anda tentang upaya kasar, itu bisa berjam-jam sebelum Anda sampai ke server Anda.
Jika Anda memiliki server SSH yang menghadap publik, Anda memerlukan solusi yang menendang jauh sebelum Anda bisa diretas.
Saya sangat merekomendasikan
fail2ban
. Wiki mereka mengatakan apa yang dilakukannya lebih baik daripada yang saya bisa.Mendapatkan perlindungan darinya semudah
sudo apt-get install fail2ban
.Secara default segera setelah seseorang melakukan tiga upaya gagal, IP mereka mendapat larangan lima menit. Penundaan semacam itu pada dasarnya menghentikan upaya brute force SSH tetapi itu tidak akan merusak hari Anda jika Anda lupa kata sandi Anda (tetapi Anda harus tetap menggunakan kunci!)
sumber