Frage Finden der letzten erfolgreichen Logins und fehlgeschlagenen Versuche an einem CentOS Server


Ich suche nach einer Protokolldatei oder einem Dienst, um die letzten Anmeldeversuche zu melden, die aufgrund eines nicht übereinstimmenden Benutzernamens / Passworts fehlgeschlagen sind. Gibt es solche Dienstprogramme für CentOS? (eingebaut ist bevorzugt)

Meine zweite Frage, und allgemeiner, ich brauche eine Protokolldatei von Penetrationsversuchen zu meinem Server. Idealerweise sollte dieses Protokoll alle Versuche enthalten, einschließlich Logins, httpd-Aktivitäten und andere herkömmliche offene Ports.


22
2017-09-22 07:16


Ursprung


Antwort auf die zweite Frage: Sieh dir das an OSSEC. - quanta
Dieser Thread wird von Stackoverflow verschoben, nachdem ich die Frage in Serverfault gestellt habe. Hier sind die Threads, die die zweite Frage diskutieren. - lashgar


Antworten:


Die Frage ist hier offtopic, aber eine sehr kurze Antwort: vielleicht sollten Sie nur überprüfen / var / log / secure (z. B. grep für "fehlgeschlagen").


13
2017-09-22 07:29



Es ist eigentlich die Antwort auf meine erste Frage. Ich werde die zweite in ServerFault fragen. Vielen Dank. - lashgar


In Linux, der last Der Befehl zeigt erfolgreiche Anmeldeversuche an und zeigt die Sitzungsinformationen (Punkte, Quelle, Datum und Länge) an.

Das lastb Der Befehl zeichnet alle ungültigen Anmeldeversuche auf. Beide teilen sich das Gleiche man Seite, aber der Unterschied ist das last liest die Binärdatei /var/log/wtmp Datei und lastb liest die /var/log/btmp Datei standardmäßig.

Der Umfang dieser Dateien hängt von Ihrem Protokollrotationszeitplan ab, sollte sich jedoch über einige Wochen erstrecken. Die meisten Distributionen werden sich drehen /var/log/wtmp monatlich, so dass Sie einen früheren Datensatz lesen können, der normalerweise als /var/log/wtmp.1 durch Angabe der Datei mit dem -f Parameter... last -f /var/log/wtmp.1


53
2017-09-22 12:23



+1 für die lastb - lashgar
Dies sollte die ausgewählte Antwort sein - a coder


Dies ist ein alter Thread, aber ich habe eine ähnliche Aufgabe, also in meinem Fall ist dies ein Protokolleintrag

Nov 15 17:14:47 megatron sshd[4768]: Failed password for git from 192.168.122.1 port 49227 ssh2

Wir können es also so machen, wenn wir sicher sind, dass der Benutzer statisch ist

#!/bin/bash
LOG=/var/log/secure
MESSAGE="Failed password for git"
grep -i "$MESSAGE" "$LOG

Für den Fall, dass wir es pro Benutzer wissen

#!/bin/bash
LOG=/var/log/secure
if [ -n "$1" ]
then
NEWUSER="$1"
else
NEWUSER="root"
fi
MESSAGE="Failed password for $NEWUSER"
grep -i "$MESSAGE" "$LOG"

Also Skript sollte wie ausgeführt werden

[root@megatron bash1]# ./failedlogin.sh git

ODER einfacherer Ansatz

#!/bin/bash
LOG=/var/log/secure
MESSAGE="Failed password for"
grep -i "$MESSAGE" "$LOG"

1
2017-11-21 01:34