"Tidak ada putih atau hitam, yang ada hanya gradasi abu-abu. Kami tidak bisa mengatakan apakah itu baik atau buruk."
Dan terkadang kita perlu menggali nuansa abu-abu dan mencari masalah sebelum terjadi. Salah satu pemeriksaan ini dapat berupa pencarian untuk upaya login SSH yang gagal. Untungnya, Ubuntu hadir dengan satu solusi yang cukup sederhana namun cukup kuat untuk mendeteksi sebagian besar kasus di mana seseorang membiarkan kata sandi yang lemah dan serangan brute force terjadi.
Setiap upaya login ke server SSH dicatat dalam file bernama auth.log yang terletak di /var/log/auth.log oleh daemon rsyslog.
Administrator dapat melihat melalui log untuk melihat apakah ada lalu lintas masuk yang aneh. File log berisi banyak informasi dalam teks biasa tetapi tidak mudah membaca semua output. Kita perlu mempelajari cara menggunakan grep untuk menelusuri file log dan dalam contoh ini kita akan fokus pada upaya yang gagal.
Menginstal OpenSSH
OpenSSH adalah layanan yang menyediakan akses jarak jauh yang aman ke sistem dalam bentuk protokol lapisan aplikasi, juga termasuk program baris perintah scp. Login sebagai pengguna root atau beralih ke pengguna dengan hak sudo, lalu gunakan perintah di bawah ini untuk menginstal OpenSSH:
sudo apt-get update
sudo apt-get install openssh-server -y
Perintah ini harus menginstal OpenSSH dan dependensinya. Anda akan melihat bahwa ada paket tambahan yang diinstal juga karena OpenSSH membutuhkan cukup banyak untuk beroperasi dengan benar.
Setelah instalasi, Anda dapat mengaktifkan ssh dengan mengetikkan perintah berikut di jendela terminal:
sudo systemctl enable ssh
Anda akan melihat output serupa gambar di bawah ini di jendela terminal Anda jika perintah berhasil:
Perintah berikut dapat digunakan untuk menghentikan SSH pada mesin Ubuntu jika Anda ingin menonaktifkannya:
sudo systemctl stop ssh
Itu dapat dimulai lagi dengan menjalankan:
sudo systemctl start ssh
Untuk memeriksa apakah server SSH berjalan, Anda dapat menggunakan perintah di bawah ini:
sudo systemctl status ssh
Anda akan melihat keluaran serupa di terminal Anda:
Pada tangkapan layar di atas, Anda dapat melihat bahwa server SSH sudah berjalan dan diaktifkan, yang berarti akan berjalan saat boot.
Cara Menemukan Semua Upaya Masuk SSH yang Gagal
Upaya login yang gagal dapat disebabkan oleh berbagai alasan dan bukan hanya eksploitasi login otomatis. Upaya login yang gagal dapat terjadi ketika:
- Pengguna mungkin salah mengetik sandi.
- Mencoba menggunakan sandi yang salah untuk masuk.
- Server berada dalam serangan brute force dan peretas mencoba menebak sandi menggunakan skrip otomatis.
Cara termudah untuk mendaftar semua upaya login SSH yang gagal adalah dengan menggunakan perintah berikut:
grep "Failed password" /var/log/auth.log
Anda akan melihat keluaran serupa di terminal Anda:
Perintah berikut dapat digunakan untuk menampilkan login SSH yang gagal di CentOS atau RHEL dalam versi yang sedikit dimodifikasi dari perintah di atas:
grep "Failed" /var/log/secure
grep "authentication failure" /var/log/secure
Atau, kita dapat melihat log menggunakan daemon Systemd dengan perintah journalctl:
journalctl _SYSTEMD_UNIT=ssh.service | egrep "Failed|Failure"
Untuk menampilkan daftar semua alamat IP yang bertanggung jawab atas upaya login SSH yang gagal, dengan jumlah percobaan di sebelahnya, Anda dapat menggunakan perintah ini:
grep "Failed password" /var/log/auth.log | awk ‘{print $11}’ | uniq -c | sort -nr Tidak dapat dihindari bahwa upaya login yang gagal akan terjadi dari waktu ke waktu. Namun, tetap penting untuk mengidentifikasi login yang gagal ke server Anda. Penting untuk mengidentifikasi alamat IP yang sering mengenai server SSH Anda dan mengambil tindakan yang diperlukan.
Kesimpulan
Dalam panduan ini, kami telah membahas cara menemukan upaya login SSH yang gagal pada mesin Linux. Kami juga mempelajari pendekatan berbeda yang melibatkan penggunaan perintah journalctl. Kami harap Anda menemukan artikel ini bermanfaat. Jangan ragu untuk memberikan tanggapan atau pertanyaan apa pun yang mungkin Anda miliki di bagian komentar.