Articolo numero: faq-138 Verificare accessi Linux: Come controllare gli accessi SSH
Come verificare e individuare gli indirizzi IP che hanno effettuato un accesso tramite SSH su un server Linux.
- 1. Aprire una connessione SSH al server
- 2. Effettua il login come utente root
- 3. Accedere la directory /var/log
Per accedere a /var/log eseguire il comando: cd /var/log
I tentativi di accesso SSH vengono registrati in /var/log/secure
- 4. Per trovare i tentativi di accesso non riusciti
Eseguire il seguente comando: grep 'Accepted password' secure*
L'output dovrebbe essere simile al seguente..
secure:Dec 5 07:22:34 vm2 sshd[15271]: Accepted password for root from 209.41.163.23 port 14655 ssh2 secure:Dec 5 07:25:11 vm2 sshd[15662]: Accepted password for root from 209.41.163.23 port 35812 ssh2 secure:Dec 6 12:34:12 vm2 sshd[20838]: Accepted password for root from 209.41.163.23 port 44827 ssh2
Questo ci indica che l'utente root ha effettuato degli accessi con successo in date (come sopra) con l'indirizzo IP 209.41.163.23
