找出誰在嘗試登入Linux主機 – lastb

每天 Linux 主機都會收到一堆嘗試遠端 ssh 登入的訊息,雖然已經將 root 直接登入關掉了,但是,還是覺得這些連線很礙眼…

嘗試登入卻登入失敗的紀錄會寫在 /var/log/btmp,要先到 /etc/logrotate.conf 停用 /var/log/btmp 的 rotate,否則只會留下 1+1 個月的紀錄

然後用以下指令查詢嘗試登入卻登入失敗的 IP 清單

lastb -i | awk ‘{ print $3 }’ | grep ‘^[0-9]’ | sort -n | uniq | grep -v ‘0.0.0.0’

寫個 crontab 自動記錄吧!

crontab -e

58 23 * * * /usr/bin/lastb -i | /bin/awk ‘{ print $3 }’ | /bin/grep ‘^[0-9]’ | /bin/sort -n | /usr/bin/uniq | /bin/grep -v ‘0.0.0.0’ > /var/log/badboy_$(date +%Y%m%d)

先寫在LOG檔吧,是否要寫到 netfilter 規則,那就見仁見智了~~~

廣告
本篇發表於 網路, Linux, Secure資訊安全。將永久鏈結加入書籤。

發表迴響

在下方填入你的資料或按右方圖示以社群網站登入:

WordPress.com Logo

您的留言將使用 WordPress.com 帳號。 登出 / 變更 )

Twitter picture

您的留言將使用 Twitter 帳號。 登出 / 變更 )

Facebook照片

您的留言將使用 Facebook 帳號。 登出 / 變更 )

Google+ photo

您的留言將使用 Google+ 帳號。 登出 / 變更 )

連結到 %s