Pour vérifier si le serveur est soumis à une fissuration par force brute ou à un comportement de connexion anormal, vous pouvez afficher l'enregistrement de défaillance de connexion SSH. Dans le système Debian / Ubuntu, le journal est situé dans /var/log/auth.log; Dans Centos / Rhel, c'est / var / log / sécurisé. Utilisez la commande grep "Mot de passe raté" pour filtrer les tentatives ratées avec le chemin du fichier, et utilisez - après ou - pour définir la plage de temps. Les journaux communs contiennent le nom d'utilisateur, l'IP source, le port et d'autres informations. Si une certaine propriété intellectuelle appara?t fréquemment, il peut s'agir d'une attaque de balayage. Pour les systèmes SystemD, vous pouvez interroger les journaux via JournalCTl _Comm = sshd avec Grep et ajouter le paramètre -f pour écouter de nouveaux enregistrements en temps réel. Pour une protection plus approfondie, il est recommandé d'installer Fail2ban pour surveiller et bloquer automatiquement la propriété intellectuelle anormale. Après l'installation, modifiez le fichier de configuration /etc/fail2ban/jail.local et redémarrez le service. La valeur par défaut est bloquée pendant 10 minutes après 5 échecs. L'enregistrement bloqué peut être visualisé dans /var/log/fail2ban.log, ou vous pouvez bloquer manuellement l'IP avec des iptables ou un pare-feu-CMD. La vérification des journaux manuels convient à l'inspection temporaire, et les solutions automatisées conviennent plus à une protection à long terme. La vérification régulière des journaux est la clé pour assurer la sécurité.

Si vous soup?onnez que votre serveur est forcé par brutal, ou si vous souhaitez simplement confirmer s'il existe un comportement de connexion anormal, la vérification de l'enregistrement de défaillance de la connexion SSH est une manière très simple. La plupart des systèmes Linux enregistreront les journaux de connexion SSH, et tant que vous savez où trouver et comment chercher, vous pouvez rapidement résoudre les problèmes.

Afficher le fichier auth.log ou sécurisé

Dans les systèmes Debian / Ubuntu, les informations de connexion SSH sont généralement enregistrées dans /var/log/auth.log ; Dans les systèmes CENTOS / RHEL, il est /var/log/secure . Vous pouvez utiliser grep avec des mots clés pour filtrer les tentatives de connexion échouées:

 grep "Mot de passe échoué" /var/log/auth.log

Si c'est Centos:

 grep "Mot de passe échoué" / var / log / sécurisé

Cela répertorie toutes les tentatives avec des erreurs dans les mots de passe. Vous pouvez également ajouter --after ou --since des paramètres pour limiter la plage de temps, comme la vérification des journaux du dernier jour.

Le format de contenu commun est à peu près comme ceci:

 10 janvier 14:23:01 Server SSHD [1234]: Mot de passe défaillant pour la racine de 192.168.1.10 Port 55432 SSH2

à partir de cet enregistrement, vous pouvez voir le nom d'utilisateur, la source IP, le port et d'autres informations. Si une IP appara?t plusieurs fois, cela peut faire partie de l'attaque de scan.

Utiliser JournalCTL (pour SystemD System)

Si vous utilisez un système basé sur Systemd (tel que les versions plus récentes d'Ubuntu ou Centos 7), vous pouvez également afficher les journaux via journalctl :

 journalctl _comm = sshd | grep "Mot de passe raté"

L'avantage de cette méthode est que vous pouvez afficher dynamiquement le journal en temps réel, comme l'ajout d'un paramètre -f pour écouter en continu de nouvelles tentatives échouées:

 journalctl _comm = sshd -f | grep "Mot de passe raté"

Ceci est particulièrement utile lorsque vous dépannez une activité suspecte.

Analyse automatique et interdiction avec des outils

Le simple fait de regarder les journaux ne suffit pas. Si vous souhaitez automatiser les tentatives de connexion ratées fréquentes, vous pouvez envisager d'installer Fail2Ban . Il peut surveiller automatiquement les journaux, identifier plusieurs tentatives échouées et bloquer temporairement l'IP correspondant.

Les étapes de configuration simples sont les suivantes:

• Installer Fail2ban:

   APT INSTALLATION Fail2ban # Debian / Ubuntu
  yum install fail2ban # centos

• Modifiez le fichier de configuration /etc/fail2ban/jail.local , activez le module SSH et définissez la politique de blocage

• Redémarrer le service: systemctl restart fail2ban

Par défaut, Fail2ban interdit l'IP pendant 10 minutes après la détection de 5 échecs. Vous pouvez voir l'enregistrement bloqué dans /var/log/fail2ban.log .

Bien s?r, vous pouvez également ajouter manuellement des règles en combinaison avec les iptables ou le pare-feu-CMD pour bloquer certains IPS suspects, mais les solutions d'automatisation conviennent plus à un fonctionnement à long terme.

---

Fondamentalement, ces méthodes. La vérification des journaux manuels convient à une inspection occasionnelle, et elle est plus adaptée à la protection quotidienne avec Fail2ban. La clé est de vérifier régulièrement des exceptions, et n'attendez pas que le serveur soit vraiment cassé avant de se souvenir de retourner le journal.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!