В современном взаимосвязанном мире Secure Shell (SSH) стал жизненно важным протоколом для удаленного доступа и администрирования серверов и систем. Мониторинг истории входа в систему SSH может предоставить ценную информацию о безопасности системы, активности пользователей и потенциальных уязвимостях. В этой статье мы рассмотрим различные методы проверки истории входа в систему SSH, используя разговорный язык, и предоставим примеры кода. Итак, давайте углубимся и раскроем секреты, скрытые в ваших журналах SSH!

Метод 1: проверка журналов аутентификации с помощью grep
Один из самых простых способов изучить историю входов в SSH — анализ журналов аутентификации системы. Эти журналы обычно находятся в разных местах в зависимости от используемого дистрибутива Linux. Чтобы получить записи входа в систему SSH, вы можете использовать следующую команду:

grep "sshd.*Accepted" /var/log/auth.log

Эта команда ищет строки, содержащие «sshd» и «Accepted» в файле «auth.log». Он отображает успешные SSH-соединения вместе с соответствующими деталями, такими как IP-адрес подключения и учетная запись пользователя.

Метод 2: использование последней команды
Команда «последняя» предоставляет полный обзор недавних входов в систему, включая соединения SSH. Чтобы просмотреть историю входов по SSH, просто выполните:

last | grep "pts" | grep "still logged in"

Эта команда фильтрует вывод «последний», чтобы отображать только активные сеансы SSH. Он предоставляет вам подробную информацию о пользователе, IP-адресе и продолжительности входа в систему.

Метод 3: анализ файла журнала OpenSSH
OpenSSH сохраняет подробный файл журнала, содержащий информацию о SSH-соединениях. Анализируя этот файл журнала, вы можете извлечь ценные данные о попытках входа и успешных входах в систему. Файл журнала обычно находится по адресу «/var/log/secure» или «/var/log/auth.log». Чтобы извлечь историю входов по SSH, используйте следующую команду:

grep "Accepted" /var/log/secure

Эта команда ищет строки, содержащие «Принято» в файле журнала OpenSSH, и отображает соответствующую информацию для входа.

Метод 4: использование команды Journalctl
Для систем, использующих systemd, команда «journalctl» обеспечивает доступ к информации журнала системы. Чтобы получить записи входа в систему SSH, используйте следующую команду:

journalctl _SYSTEMD_UNIT=sshd.service _COMM=sshd

Эта команда фильтрует журналы журналов для отображения записей, связанных с демоном SSH (sshd). Он обеспечивает комплексное представление событий входа в систему SSH, включая успешные и неудачные попытки.

Метод 5: включение ведения журнала SSH в конфигурации SSHD
По умолчанию ведение журнала SSH не включено в файле конфигурации SSHD. Однако вы можете изменить конфигурацию для регистрации подключений SSH. Найдите файл «sshd_config» (обычно он находится в «/etc/ssh/sshd_config») и добавьте или измените следующую строку:

LogLevel VERBOSE

Этот параметр увеличивает детализацию журналирования SSH, предоставляя более подробную информацию о SSH-соединениях в системных журналах. Не забудьте перезапустить службу SSH, чтобы изменения вступили в силу.

Отслеживание истории входа в систему SSH имеет решающее значение для поддержания безопасности системы и выявления потенциальных нарушений безопасности. В этой статье мы рассмотрели несколько методов проверки истории входа в систему SSH, включая проверку журналов аутентификации, использование команды «последняя», анализ файлов журналов OpenSSH, использование команды «journalctl» и включение ведения журнала SSH в конфигурации SSHD. Внедрив эти методы, вы сможете получить ценную информацию об удаленных подключениях и защитить свои системы от несанкционированного доступа.