在centos系統(tǒng)上監(jiān)控ssh活動(dòng)可以通過多種途徑實(shí)現(xiàn),以下是一些常見的方法:
-
利用last命令:last命令可以展示用戶最近的登錄記錄,包括通過ssh的登錄。運(yùn)行以下命令即可查看所有用戶的登錄歷史:
last
若想查看特定用戶的登錄記錄,可使用:
last username
-
檢查auth.log日志文件:SSH相關(guān)的認(rèn)證和連接信息通常記錄在/var/log/auth.log文件中。你可以通過tail、less或grep等命令來查看文件內(nèi)容。例如:
或者搜索特定的SSH相關(guān)事件:
sudo grep 'sshd' /var/log/auth.log
-
使用journalctl命令:如果你的系統(tǒng)采用systemd,可以通過journalctl命令查看SSH服務(wù)的日志。例如:
sudo journalctl -u sshd
你也可以使用-f選項(xiàng)來實(shí)時(shí)跟蹤日志更新:
sudo journalctl -u sshd -f
-
通過tcpdump進(jìn)行網(wǎng)絡(luò)監(jiān)控:如果希望監(jiān)控SSH活動(dòng)的網(wǎng)絡(luò)層面,可以使用tcpdump工具來捕獲和分析網(wǎng)絡(luò)數(shù)據(jù)包。例如,以下命令會(huì)捕獲所有到SSH端口(默認(rèn)是22)的數(shù)據(jù)包:
sudo tcpdump -i any port 22
請(qǐng)注意,tcpdump需要root權(quán)限才能運(yùn)行。
-
使用fail2ban監(jiān)控并阻止惡意SSH嘗試:fail2ban是一個(gè)用于監(jiān)控日志文件并根據(jù)規(guī)則阻止惡意IP地址的工具。它可以用來防止SSH密碼的暴力破解。安裝并配置fail2ban后,它會(huì)自動(dòng)監(jiān)控/var/log/auth.log或其他指定的日志文件,并在檢測(cè)到可疑活動(dòng)時(shí)更新防火墻規(guī)則以阻止IP地址。
-
利用auditd進(jìn)行審計(jì):auditd是Linux的審計(jì)系統(tǒng),可以用來監(jiān)控系統(tǒng)調(diào)用和文件訪問。你可以配置auditd來跟蹤SSH相關(guān)的系統(tǒng)調(diào)用和文件變化。這通常用于更高級(jí)的安全審計(jì)需求。
選擇哪種方法取決于你的具體需求和環(huán)境。對(duì)于大多數(shù)基本的監(jiān)控需求,查看auth.log和使用last命令通常就足夠了。如果你需要進(jìn)行更深入的分析或者防止自動(dòng)化攻擊,可能需要考慮使用fail2ban或tcpdump。
.png)
推廣.jpg)