Hướng dẫn cách kiểm tra Nhật ký sshd trên Linux

SSHD là viết tắt của Secure SHell Daemon. Nó là một quá trình ẩn âm thầm lắng nghe tất cả các nỗ lực xác thực và đăng nhập của hệ điều hành Linux. Quá trình này bắt đầu ngay sau khi bạn khởi động hệ điều hành Linux của mình và nó chịu trách nhiệm cho phép giao tiếp an toàn giữa hai thực thể thông qua một kênh giao tiếp không an toàn bằng cách thiết lập kết nối giữa chúng.

Tệp nhật ký của daemon này đặc biệt hữu ích nếu bạn đang cố gắng tìm ra bất kỳ nỗ lực đăng nhập trái phép nào vào hệ thống của mình. Để làm điều đó, bạn sẽ phải kiểm tra nhật ký sshd trên Linux. Vì vậy, trong bài viết này, chúng ta sẽ tìm hiểu hai phương pháp khác nhau để kiểm tra nhật ký sshd trên hệ điều hành Linux.

Lưu ý: Hai phương pháp sau đã được chứng minh trên Ubuntu 20.04.

Phương pháp kiểm tra Nhật ký sshd trên Linux:

Để kiểm tra nhật ký sshd trên Ubuntu 20.04, bạn có thể sử dụng bất kỳ phương pháp nào trong hai phương pháp sau:

Phương pháp # 1: Sử dụng lệnh “lastlog”:

Phương pháp này hữu ích khi bạn chỉ có ý định xem nhật ký đăng nhập thông qua sshd. Điều này có thể được thực hiện bằng cách làm theo các bước được mô tả dưới đây:

Chúng tôi sẽ chạy lệnh “lastlog” trên thiết bị đầu cuối mà chúng tôi sẽ khởi chạy nó đầu tiên như thể hiện trong hình ảnh sau:

Bây giờ chúng ta sẽ chạy lệnh “lastlog” trong terminal theo cách sau:

lastlog

Đầu ra của lệnh này sẽ hiển thị tất cả các nhật ký liên quan đến đăng nhập trên thiết bị đầu cuối của bạn, như thể hiện trong hình ảnh bên dưới:

Phương pháp # 2: Xem Nội dung của Tệp “auth.log”:

Phương pháp này nên được sử dụng khi bạn không muốn giới hạn các bản ghi sshd cho các lần đăng nhập; thay vào đó, bạn muốn kiểm tra tất cả các bản ghi sshd. Bạn phải làm theo các bước được đề cập bên dưới để sử dụng phương pháp này:

Chúng tôi cần truy cập tệp /var/log/auth.log để kiểm tra tất cả các bản ghi sshd trên Ubuntu 20.04. Tệp này có thể được truy cập với sự trợ giúp của lệnh “cat” theo cách sau:

cat / var / log / auth.log

Tuy nhiên, nếu bạn chưa đăng nhập vào tài khoản người dùng root, thì việc chạy lệnh này sẽ dẫn đến lỗi sau trên thiết bị đầu cuối Ubuntu 20.04 của bạn:

Để tránh lỗi này xảy ra, bạn có thể cố gắng truy cập vào phần này trong khi đăng nhập vào tài khoản người dùng root hoặc nếu không, bạn có thể sử dụng lệnh này với từ khóa “sudo” để có các đặc quyền của người dùng root như hình dưới đây:

sudo cat / var / log / auth.log

Sau khi truy cập tệp auth.log với đặc quyền của người dùng root, bạn sẽ có thể xem nội dung của tệp này, tức là tất cả các nhật ký sshd trên thiết bị đầu cuối Ubuntu 20.04 của bạn như được hiển thị trong hình ảnh sau:

Phần kết luận:

Trong bài viết này, Viettelco đã nói về hai phương pháp kiểm tra nhật ký sshd trên Linux. Cả hai phương pháp này là một phương tiện rất hiệu quả để theo dõi tất cả các loại hoạt động xâm nhập. Hơn nữa, bạn cũng có thể tìm ra các lần thử kết nối mới nhất của mình bằng cách sử dụng các phương pháp này. Tệp auth.log được cập nhật mỗi khi bạn cố gắng tạo kết nối mới, chia sẻ tệp hoặc cố gắng xác thực chính mình.