LINUX

Cómo habilitar el registro SSH y la lista de inicios de sesión fallidos en Linux

habilitar registro ssh

Como sabemos, el protocolo SSH proporciona una función de inicio de sesión remoto y, por lo tanto, es importante mantener los registros de inicio de sesión. El administrador del sistema puede lograr esto mediante la configuración en los servicios de syslogd.

En Linux, syslogd es el servicio de registro de Unix que mantiene los registros que envían los programas al demonio syslog, syslogd los reenvía a otro destino, como una consola o un archivo. El destino se especifica en el archivo de configuración de syslog /etc/syslog.conf.

En este tutorial, aprenderemos cómo habilitar el registro ssh y verificar el comando de Linux para enumerar los intentos fallidos de inicio de sesión de ssh.

Habilitar el registro de syslog

Primero verifiquemos el archivo de configuración si el registro ssh está habilitado o no, use el siguiente comando:

[root@localhost ~]# cat /etc/syslog.conf | grep -i ssh
# sshlog
*.* /var/log/sshd/sshd.log

De forma predeterminada, el registro ssh está habilitado, si no está habilitado, habilite el registro SSH, necesitamos configurar el archivo syslog.conf agregando el archivo /etc/syslog.conf.

*.* /var/log/sshd/sshd.log

Cuando se ejecuta el servidor SSH, producirá los mensajes de registro en sshd.log para describir lo que está sucediendo. Estos mensajes de registro ayudarán al administrador del sistema a realizar un seguimiento de los detalles del sistema, como quién inició sesión y quién se desconectó, y solucionar el problema.

El archivo / etc / ssh / sshd_config es un archivo de configuración de todo el sistema para el servicio SSH abierto que le permite configurar opciones que modifican el funcionamiento del demonio. Este archivo de configuración contiene pares de palabras clave-valor y uno por línea con palabras clave que distinguen entre mayúsculas y minúsculas.

SyslogFacility AUTH y AUTHPRIV

Los mensajes recibidos por syslogd se procesan de acuerdo con su facilidad que indica el origen del mensaje. Standard SyslogFacility incluye KERN (Mensajes del Kernel del SO), DAEMON (Mensajes del Servicio o Daemon), USER (Mensajes de los procesos del usuario), MAIL (Mensajes del Sistema de Correo Electrónico) y otros.

De forma predeterminada, la función para los mensajes del servidor SSH es AUTHPRIV. Esta opción se puede cambiar con la palabra clave SSH SyslogFacility, que determina el código de instalación de syslog para registrar mensajes SSH. Otros valores posibles de SyslogFacility son DAEMON, USER, AUTH, AUTHPRIV, LOCAL0, LOCAL1, LOCAL2, LOCAL3, LOCAL4, LOCAL5, LOCAL6 y LOCAL7. El valor predeterminado es AUTHPRIV.

La opción SyslogFacility especifica el código de la instalación que se utiliza al registrar mensajes desde sshd. La instalación especifica el subsistema que produjo el mensaje, en nuestro caso, AUTH.

Normalmente, todos los mensajes relacionados con la autenticación se registran con la función AUTHPRIV (o AUTH) [intended to be secure and never seen by unwanted eyes], mientras que los mensajes operativos normales se registran con la función DAEMON.

Habilite la autenticación en el archivo sshd_config

[root@localhost ssh]# cat sshd_config | grep -i SyslogFacility
#SyslogFacility AUTH
SyslogFacility AUTHPRIV

Nivel de registro

Proporciona el nivel de verbosidad que se utiliza al registrar mensajes desde sshd. Los otros valores posibles son QUIET, FATAL, ERROR, INFO, VERBOSE, DEBUG, DEBUG1, DEBUG2 y DEBUG3. El valor predeterminado es INFO. DEBUG y DEBUG1 son equivalentes. DEBUG2 y DEBUG3 especifican cada uno niveles más altos de depuración de la salida.

Si desea registrar más información, como intentos fallidos de inicio de sesión, debe aumentar el nivel de registro a VERBOSO.

Asegúrese de descomentar las líneas siguientes para habilitar el nivel de registro.

[root@localhost ssh]# cat sshd_config | grep -i LogLevel
#LogLevel INFO
[root@localhost ssh]#

Ahora necesitas reiniciar el servicio ssh

Para habilitar el servicio de SSH, use el comando service sshd start.

[root@localhost ~]# service sshd start
Starting sshd: [ OK ]

Puede usar el comando watch para ver las actualizaciones del archivo de registro ssh en vivo.

[root@localhost ~]# watch /var/log/messages

Verifique el inicio de sesión ssh fallido

Puede usar cualquiera de los siguientes comandos para verificar la sesión de inicio de sesión ssh fallida en Centos y Ubuntu.

# grep "Failed password" /var/log/auth.log
# egrep "Failed|Failure" /var/log/auth.log

Sobre Centos y Redhat

# egrep "Failed|Failure" /var/log/secure
# grep "authentication failure" /var/log/secure

En Centos 7 y distribuciones de Linux más recientes usando systemd

# journalctl _SYSTEMD_UNIT=sshd.service | egrep "Failed|Failure"

Si tuvieras auditd paquete instalado, entonces puede usar aureport herramienta para obtener el informe de autenticación. Para obtener un informe de todos los intentos fallidos realizados:

# aureport -au -i --failed | more

Conclusión

Hay principalmente 3 administradores de registros diferentes disponibles para Linux para recopilar y almacenar registros. El predeterminado es syslog, otros dos son rsyslog y Syslog-ng.

Las distribuciones de Linux más nuevas usan el servicio de registro de systemd, que usa Journalctl para consultar y mostrar registros de journald.

Espero que haya disfrutado leyendo este tutorial sobre el registro ssh y deje sus pensamientos sobre este tutorial en la sección de comentarios a continuación.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar