LINUX

Cómo habilitar el registro SSH y enumerar los inicios de sesión fallidos en Linux

habilitar registro ssh

Como sabemos, el protocolo SSH proporciona una función de inicio de sesión remoto y, por lo tanto, es importante mantener registros de inicio de sesión. El administrador del sistema puede lograr esto configurando los servicios de syslogd.

En Linux, syslogd es el servicio de registro de Unix que mantiene los registros enviados por los programas al demonio syslog, syslogd los envía a otro destino, como una consola o un archivo. El destino se especifica en el archivo de configuración de syslog /etc/syslog.conf.

En este tutorial, aprenderemos cómo habilitar el registro ssh y verificar el comando de Linux para enumerar los intentos fallidos de conexión ssh.

Habilitar el registro de syslog

Primero verifiquemos el archivo de configuración si el registro ssh está habilitado o no, use el siguiente comando:

[root@localhost ~]# cat /etc/syslog.conf | grep -i ssh
# sshlog
*.* /var/log/sshd/sshd.log

De manera predeterminada, el registro ssh está habilitado, si no está habilitado, entonces habilitamos el registro SSH, necesitamos configurar syslog.conf agregando el archivo /etc/syslog.conf.

*.* /var/log/sshd/sshd.log

Cuando el servidor SSH se está ejecutando, generará mensajes de registro en sshd.log para describir lo que está sucediendo. Estos mensajes de registro ayudarán al administrador del sistema a realizar un seguimiento de los detalles del sistema, como quién inició y cerró la sesión y a solucionar el problema.

El archivo /etc/ssh/sshd_config es un archivo de configuración de todo el sistema para el servicio SSH abierto que le permite establecer opciones que cambian la operación del daemon. Este archivo de configuración contiene pares de palabra clave-valor y uno por línea, las palabras clave distinguen entre mayúsculas y minúsculas.

SyslogFacility AUTH y AUTHPRIV

Los mensajes recibidos por syslogd se procesan según su facilidad, lo que indica el origen del mensaje. SyslogFacility estándar incluye KERN (mensajes del núcleo del sistema operativo), DAEMON (mensajes de servicio o daemon), USER (mensajes de proceso de usuario), MAIL (mensajes del sistema de correo) y otros.

De forma predeterminada, la función para los mensajes del servidor SSH es AUTHPRIV. Esta opción se puede cambiar con la palabra clave SSH SyslogFacility que determina el código de instalación de syslog para registrar mensajes SSH. Otros posibles valores de SyslogFacility son DAEMON, USER, AUTH, AUTHPRIV, LOCAL0, LOCAL1, LOCAL2, LOCAL3, LOCAL4, LOCAL5, LOCAL6 y LOCAL7. El valor predeterminado es AUTHPRIV.

La opción SyslogFacility especifica el código de instalación utilizado al registrar mensajes de sshd. La instalación especifica el subsistema que produjo el mensaje, en nuestro caso, AUTH.

Normalmente, todos los mensajes relacionados con la autenticación se registran con la función AUTHPRIV (o AUTH). [intended to be secure and never seen by unwanted eyes]mientras que los mensajes operativos normales se registran con la función DAEMON.

Habilite Auth en su archivo sshd_config

[root@localhost ssh]# cat sshd_config | grep -i SyslogFacility
#SyslogFacility AUTH
SyslogFacility AUTHPRIV

Nivel de registro

Proporciona el nivel de detalle que se usa al registrar mensajes desde sshd. Los otros valores posibles son QUIET, FATAL, ERROR, INFO, VERBOSE, DEBUG, DEBUG1, DEBUG2 y DEBUG3. El valor predeterminado es INFORMACIÓN. DEBUG y DEBUG1 son equivalentes. DEBUG2 y DEBUG3 especifican cada uno niveles más altos de depuración de salida.

Si desea registrar más información, como intentos de inicio de sesión fallidos, debe aumentar el nivel de registro a VERBOSE.

Asegúrese de descomentar las líneas a continuación para habilitar el registro.

[root@localhost ssh]# cat sshd_config | grep -i LogLevel
#LogLevel INFO
[root@localhost ssh]#

Ahora necesita reiniciar el servicio ssh

Para habilitar el servicio SSH, use el comando service sshd start.

[root@localhost ~]# service sshd start
Starting sshd: [ OK ]

Puede usar el comando watch para ver actualizaciones de archivos de registro ssh en vivo.

[root@localhost ~]# watch /var/log/messages

Compruebe la autenticación ssh fallida

Puede usar cualquiera de los comandos a continuación para verificar la sesión de inicio de sesión ssh fallida en Centos y Ubuntu.

# grep "Failed password" /var/log/auth.log
# egrep "Failed|Failure" /var/log/auth.log

Sobre Centos y Redhat

# egrep "Failed|Failure" /var/log/secure
# grep "authentication failure" /var/log/secure

En Centos 7 y distribuciones de Linux más nuevas usando systemd

# journalctl _SYSTEMD_UNIT=sshd.service | egrep "Failed|Failure"

Si tuvieras auditd paquete instalado, entonces puede usar aureport herramienta para obtener el informe de autenticación. Para obtener un informe de todos los intentos fallidos realizados:

# aureport -au -i --failed | more

Conclusión

Hay principalmente 3 administradores de registros diferentes disponibles para que Linux recopile y almacene registros. El valor predeterminado es syslog, los otros dos son rsyslog y Syslog-ng.

Las distribuciones de Linux más recientes usan el servicio de registro en diario Systemd, que usa Journalctl para consultar y mostrar los registros de journald.

Espero que haya disfrutado leyendo este tutorial de registro de ssh y deje sus pensamientos sobre este tutorial en la sección de comentarios a continuación.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar