ວິທີການຊອກຫາຄວາມພະຍາຍາມເຂົ້າສູ່ລະບົບ SSH ທີ່ລົ້ມເຫລວໃນ Linux

ແຕ່ລະຄວາມພະຍາຍາມທີ່ຈະເຂົ້າລະບົບເຊີບເວີ SSH ແມ່ນຖືກຕິດຕາມແລະບັນທຶກລົງໃນບັນທຶກເອກະສານບັນທຶກໂດຍ ຄຳ ສັ່ງ grep.

ເພື່ອສະແດງລາຍຊື່ຂອງການເຂົ້າສູ່ລະບົບ SSH ທີ່ລົ້ມເຫລວໃນ Linux, ອອກບາງ ຄຳ ສັ່ງທີ່ ນຳ ສະ ເໜີ ໃນຄູ່ມືນີ້. ໃຫ້ແນ່ໃຈວ່າ ຄຳ ສັ່ງເຫລົ່ານີ້ຖືກປະຕິບັດດ້ວຍສິດທິພິເສດຂອງຮາກ.

ຄຳ ສັ່ງທີ່ງ່າຍດາຍທີ່ສຸດທີ່ຈະບອກລາຍການເຂົ້າສູ່ລະບົບ SSH ທີ່ລົ້ມເຫລວທັງ ໝົດ ແມ່ນ ຄຳ ສັ່ງຂ້າງລຸ່ມນີ້.

# grep "Failed password" /var/log/auth.log

ຜົນໄດ້ຮັບດຽວກັນກໍ່ສາມາດບັນລຸໄດ້ໂດຍການອອກຄໍາສັ່ງແມວ.

# cat /var/log/auth.log | grep "Failed password"

ເພື່ອສະແດງຂໍ້ມູນພິເສດກ່ຽວກັບການເຂົ້າສູ່ລະບົບ SSH ທີ່ລົ້ມເຫລວ, ອອກ ຄຳ ສັ່ງດັ່ງທີ່ສະແດງຢູ່ໃນຕົວຢ່າງຂ້າງລຸ່ມນີ້.

# egrep "Failed|Failure" /var/log/auth.log

ໃນ CentOS ຫຼື RHEL, ຊ່ວງ SSH ທີ່ລົ້ມເຫລວຖືກບັນທຶກລົງໃນ/var/log/file ທີ່ປອດໄພ. ອອກ ຄຳ ສັ່ງຂ້າງເທິງຕໍ່ກັບແຟ້ມບັນທຶກນີ້ເພື່ອລະບຸການເຂົ້າສູ່ລະບົບ SSH ທີ່ລົ້ມເຫລວ.

# egrep "Failed|Failure" /var/log/secure

ສະບັບດັດແກ້ເລັກນ້ອຍຂອງ ຄຳ ສັ່ງຂ້າງເທິງເພື່ອສະແດງການເຂົ້າສູ່ລະບົບ SSH ທີ່ລົ້ມເຫລວໃນ CentOS ຫລື RHEL ແມ່ນມີດັ່ງຕໍ່ໄປນີ້.

# grep "Failed" /var/log/secure
# grep "authentication failure" /var/log/secure

ເພື່ອສະແດງບັນຊີລາຍຊື່ຂອງທີ່ຢູ່ IP ທັງ ໝົດ ທີ່ໄດ້ພະຍາຍາມແລະລົ້ມເຫລວເຂົ້າສູ່ລະບົບເຊີຟເວີ SSH ຄຽງຄູ່ກັບ ຈຳ ນວນຄວາມພະຍາຍາມທີ່ລົ້ມເຫລວຂອງແຕ່ລະທີ່ຢູ່ IP, ອອກ ຄຳ ສັ່ງລຸ່ມນີ້.

# grep "Failed password" /var/log/auth.log | awk ‘{print $11}’ | uniq -c | sort -nr

ກ່ຽວກັບການແຈກຢາຍ Linux ໃໝ່ໆ ທ່ານສາມາດຄົ້ນຫາເອກະສານບັນທຶກເວລາແລ່ນທີ່ຖືກຮັກສາໄວ້ໂດຍ Systemd daemon ຜ່ານ ຄຳ ສັ່ງ journalctl. ເພື່ອສະແດງທຸກຄວາມພະຍາຍາມເຂົ້າສູ່ລະບົບ SSH ທີ່ລົ້ມເຫລວທ່ານຄວນສົ່ງຜົນໄດ້ຮັບຜ່ານຕົວກອງ grep, ດັ່ງທີ່ສະແດງຢູ່ໃນຕົວຢ່າງ ຄຳ ສັ່ງຂ້າງລຸ່ມ.

# journalctl _SYSTEMD_UNIT=ssh.service | egrep "Failed|Failure"
# journalctl _SYSTEMD_UNIT=sshd.service | egrep "Failed|Failure"  #In RHEL, CentOS 

ໃນ CentOS ຫຼື RHEL, ປ່ຽນແທນ SSH daemon unit ໂດຍ sshd.service, ດັ່ງທີ່ສະແດງຢູ່ໃນຕົວຢ່າງ ຄຳ ສັ່ງຂ້າງລຸ່ມ.

# journalctl _SYSTEMD_UNIT=sshd.service | grep "failure"
# journalctl _SYSTEMD_UNIT=sshd.service | grep "Failed"

ຫຼັງຈາກທີ່ທ່ານໄດ້ລະບຸທີ່ຢູ່ IP ທີ່ມັກຕີ SSH server ຂອງທ່ານເພື່ອເຂົ້າສູ່ລະບົບດ້ວຍບັນຊີຜູ້ໃຊ້ທີ່ ໜ້າ ສົງໄສຫລືບັນຊີຜູ້ໃຊ້ທີ່ບໍ່ຖືກຕ້ອງ, ທ່ານຄວນປັບປຸງລະບຽບການໃຊ້ firewall ຂອງລະບົບຂອງທ່ານໃຫ້ fail2ban ເພື່ອຈັດການໂຈມຕີເຫຼົ່ານີ້.