Localizando logins bem-sucedidos mais recentes e tentativas com falha em um servidor CentOS

29

Estou procurando um arquivo de log ou qualquer serviço para relatar as últimas tentativas de login que falharam devido à incompatibilidade de nome de usuário / senha. Existem utilitários disponíveis para o CentOS? (o embutido é o preferido)

Minha segunda pergunta e, de maneira mais geral, preciso de um arquivo de log de tentativas de penetração no meu servidor. Idealmente, esse log deve conter todas as tentativas, incluindo logins, atividades httpd e outras portas abertas convencionais.

linux  security  centos 
lashgar
fonte
2
responda à segunda pergunta: dê uma olhada no OSSEC .
quanta
1
Este segmento foi movido do Stackoverflow depois que eu fiz a pergunta no Serverfault. Aqui estão os tópicos que discutem a segunda pergunta.
Lashgar 22/09/12

Respostas:

61

No Linux, o lastcomando mostra tentativas bem-sucedidas de login e exibe informações da sessão (pontos, fonte, data e duração).

O lastbcomando registra todas as tentativas incorretas de logon. Ambos compartilham a mesma manpágina, mas a diferença é que lastlê o /var/log/wtmparquivo binário e lastblê o /var/log/btmparquivo por padrão.

O intervalo desses arquivos depende do seu agendamento de rotação de logs, mas deve durar algumas semanas. A maioria das distribuições gira /var/log/wtmpmensalmente, para que você possa ler um registro anterior, geralmente listado como /var/log/wtmp.1especificando o arquivo com o -fparâmetro ...last -f /var/log/wtmp.1

ewwhite
fonte
17
+1 para olastb
lashgar 23/09/12
3
Esta deve ser a resposta selecionada
um codificador
@acoder, feito: thumb:
lashgar
14

A questão está aqui offtopic, mas uma resposta muito curta: talvez você deva verificar / var / log / secure (por exemplo, grep para "falha").

flolo
fonte
Na verdade, é a resposta para minha primeira pergunta. Vou perguntar o segundo no ServerFault. Obrigado.
Lashgar 22/09/12
1

Esta é uma thread antiga, mas eu tenho uma tarefa semelhante como esta, portanto, no meu caso, é uma entrada de log 

Nov 15 17:14:47 megatron sshd[4768]: Failed password for git from 192.168.122.1 port 49227 ssh2

Então, podemos fazer assim, se tivermos certeza de que o usuário é estático

#!/bin/bash
LOG=/var/log/secure
MESSAGE="Failed password for git"
grep -i "$MESSAGE" "$LOG

No caso, se soubermos por usuário

#!/bin/bash
LOG=/var/log/secure
if [ -n "$1" ]
then
NEWUSER="$1"
else
NEWUSER="root"
fi
MESSAGE="Failed password for $NEWUSER"
grep -i "$MESSAGE" "$LOG"

Portanto, o script deve executar como

[root@megatron bash1]# ./failedlogin.sh git

OU abordagem mais fácil

#!/bin/bash
LOG=/var/log/secure
MESSAGE="Failed password for"
grep -i "$MESSAGE" "$LOG"
Prashant Lakhera
fonte
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.