जवाबों:
सभी लॉगिन प्रयास लॉग इन हैं /var/log/auth.log
।
एक टर्मिनल खोलें, और नीचे टाइप करें; यदि यह 1 पृष्ठ से अधिक लंबा है तो आप ऊपर और नीचे स्क्रॉल कर पाएंगे; q
बाहर निकलने का प्रकार :
grep sshd.\*Failed /var/log/auth.log | less
यहाँ मेरे VPS में से एक वास्तविक उदाहरण है:
अगस्त १ Aug ११:०० izxvps sshd [5657]: 95.58.255.62 पोर्ट 38980 ssh2 से रूट के लिए विफल पासवर्ड अगस्त 18 23:08:26 izxvps sshd [5768]: 91.205.189.15 पोर्ट 38156 ssh2 से रूट के लिए विफल पासवर्ड अगस्त 18 23:08:30 izxvps sshd [5770]: 91.205.189.15 पोर्ट 38556 ssh2 से किसी के लिए भी विफल पासवर्ड अगस्त 18 23:08:34 izxvps sshd [5772]: 91.205.189.15 पोर्ट 38864 ssh2 से अमान्य उपयोगकर्ता तार के लिए विफल पासवर्ड अगस्त 18 23:08:38 izxvps sshd [5774]: 91.205.189.15 पोर्ट 39157 ssh2 से अमान्य उपयोगकर्ता sjobeck के लिए विफल पासवर्ड अगस्त 18 23:08:42 izxvps sshd [5776]: 91.205.189.15 पोर्ट 39467 ssh2 से रूट के लिए विफल पासवर्ड
इस कमांड का उपयोग करें:
grep sshd.*Did /var/log/auth.log | less
उदाहरण:
अगस्त 5 22:19:10 izxvps sshd [7748]: 70.91.222.121 से पहचान स्ट्रिंग प्राप्त नहीं किया Aug 10 19:39:49 izxvps sshd [1919]: 50.57.168.154 से पहचान स्ट्रिंग प्राप्त नहीं किया Aug 13 23:08:04 izxvps sshd [3562]: 87.216.241.19 से पहचान स्ट्रिंग प्राप्त नहीं किया अगस्त 17 15:49:07 izxvps sshd [5350]: 211.22.67.238 से पहचान स्ट्रिंग प्राप्त नहीं किया अगस्त 19 06:28:43 izxvps sshd [5838]: 59.151.37.10 से पहचान स्ट्रिंग नहीं मिला
/var/log/secure
systemctl -eu sshd
मेरा तर्क है कि निगरानी लॉग एक कमजोर समाधान है, खासकर यदि आपके पास किसी खाते पर एक कमजोर पासवर्ड है। ब्रूट प्रयास अक्सर प्रति मिनट कम से कम सैकड़ों कुंजी का प्रयास करते हैं। यहां तक कि अगर आपके पास क्रूर प्रयासों के लिए ईमेल करने के लिए एक क्रोन जॉब है, तो आपके सर्वर पर पहुंचने से कुछ घंटे पहले हो सकता है।
मैं दृढ़ता से सिफारिश करूंगा fail2ban
। उनकी विकी कहती है कि मैं इससे बेहतर क्या कर सकती हूं।
Fail2ban लॉग फ़ाइलों (जैसे
/var/log/apache/error_log
) और दुर्भावनापूर्ण संकेतों को दर्शाने वाले आईपी पर रोक लगाता है - बहुत सारे पासवर्ड विफलताओं, कारनामों की तलाश आदि। आम तौर पर Fail2Ban तब आईपी पते को निर्दिष्ट समय के लिए अस्वीकार करने के लिए फ़ायरवॉल नियमों को अपडेट करने के लिए उपयोग किया जाता है, हालांकि कोई भी मनमाने ढंग से अन्य कार्रवाई (जैसे ईमेल भेजना, या सीडी-रॉम ट्रे हटाना) को भी कॉन्फ़िगर किया जा सकता है। आउट ऑफ़ द बॉक्स Fail2Ban विभिन्न सेवाओं के लिए फ़िल्टर (Apache, curier, ssh, आदि) के साथ आता है।
इससे सुरक्षा पाना उतना ही सरल है जितना कि sudo apt-get install fail2ban
।
डिफ़ॉल्ट रूप से जैसे ही किसी ने तीन असफल प्रयास किए हैं, उनके आईपी को पांच मिनट का प्रतिबंध मिलता है। इस तरह की देरी अनिवार्य रूप से एक SSH जानवर बल के प्रयास को रोकती है, लेकिन यदि आप अपना पासवर्ड भूल जाते हैं, तो यह आपके दिन को बर्बाद करने वाला नहीं है (लेकिन आपको वैसे भी कुंजियों का उपयोग करना चाहिए!)