Procurar por log no sistema

Olá pessoal.

Já uso o linux a pelo menos 2 anos como meu sistema principal 100% do tempo, mas ainda não domino totalmente o sistema a ponto de saber todas as possibilidades que tenho com ele.

A pouco tempo descobri que o diretório /var/log apresenta basicamente a lista de log de todos os programas que estão rodando, com ele consigo ver alertas de erros e como os programas estão rodando dentro do sistema.

Fiquei curioso e queria saber se dentro desse /var/log existe algum arquivo que em informa se houve alguma tentativa de login do meu linux, se o login foi com uma senha errada ou se vou validado… O mesmo também queria saber pro acesso por SSH, se teve alguma tentativa e se teve falha ou sucesso no login.

É possível saber?

No Debian e derivados os acessos locais e via ssh ficam no arquivo auth.log. Se você não acessa o computador remotamente é melhor e mais seguro nem instalar o ssh.

Essa minha dúvida veio justamente pq tenho acessado muito o linux por ssh, fiquei com uma pulga atras da orelha no caso se alguém interceptar meus dados e tentar logar na minha maquina.

Eu achei esse auth.log mas lá dentro não achei nenhuma informação sobre login, os logs mais novos são de 3 dias atrás send que hj msm eu fiz um acesso via ssh e não tem nenhum registro lá.

Não sei dizer porque não está vendo os logins, aqui está funcionando normalmente.

Feb 27 23:13:57 Chronos systemd-logind[563]: New session 1 of user drakofrost.
Feb 27 23:13:57 Chronos systemd: pam_unix(systemd-user:session): session opened for user drakofrost by (uid=0)

Se você utiliza o ssh deve se autenticar com uma chave, nunca use senhas e habilite o firewall.

Tem sempre a possibilidade de apagarem os logs. A questão é: Existe algum motivo pra alguém querer acessar sua maquina? Dados sigilosos, por exemplo? Se sim, é importante se preocupar mais com sua segurança.

Não tenho nenhum super segredo, mas eu acesso quase que todos os dias meu computador por SSH no laboratório de informatica da minha faculdade.

Como eu gosto dessa área de segurança e redes, tbm fiquei curioso de saber como funcionam as coisas e como eu poderia me proteger melhor.

Eu comecei a acessar agora por chave pública o SSH entre o meu notebook e o meu raspberry pi, nem senha preciso usar mais… Ainda não entendi 100% como isso funciona mas já estou usando.

Bom dia.

Luciano, qual S.O você quer ver esse log? É Servidor?

Provavelmente o teu sistema usa o Systemd.
Leitura: systemd/Journal - ArchWiki

  • Os registros em geral podes buscar através de linha de comando com o journalctl, mas também podes usar uma ferramenta com interface gráfica o gnome-logs, se estiveres em máquina de uso pessoal com ambiente gráfico, que provavelmente está nos repositórios da tua distribuição.
  • Os registros mais recentes podes pegar por linha de comando com o dmesg, e a saída do dmesg podes filtrar com uma ferramenta como o grep, caso queiras algum detalhe.

No gnome-logs há uma parte dedicada à registros que estão relacionados com segurança, e lá ficam registradas autenticações e outros detalhes.

Dicas:

  1. SSH: use sempre autenticação por chave pública, com a autenticação através de senha desativada, e não esqueças de habilitar o firewall, e se usares o ufw: ufw limit SSH para evitar ataques de força bruta. O firewall também realiza registros.
  2. Leituras: OpenSSH - ArchWiki e Security - ArchWiki
2 curtidas

Eu acesso por ssh, a partir de uma maquina windows usando o programa mobaxterm, basicamente meu notebook (Linux mint 19.1) e meu raspberry pi (raspbian lite). O Raspberry é um servidor e não possui interface gráfica.

Como seu ssh fica exposto na internet, além de utilizar chaves de autenticação seria interessante instalar o fail2ban.

1 curtida

Caro,
Seus sistema utiliza o systemd. O comando journactl vai auditar apenas os acessos ssh com sucesso.

veja se encontra no /var/log/auth.log

Tente também essa linha de comando abaixo

ausearch -ts $jrnlStart -x “/usr/sbin/sshd”`

Por último, caso ainda não consiga, dê um tail -f nos arquivos de log mencionados e tente uma intrusão.

Eu estou um pouco confuso pq a quantidade de informações em /var/log/auth.log é absurdamente grande e não confuso te ruma dimensão do que é o que.

Vejam:

Isso são as ultimas informações do auth.log, mas vejam que ela coleta log a casa poucos segundos, não sei o que é log de login por ssh nisso tudo.

Eu segui a dica do @anon48453804 e fiz a instalação do fail2ban. Acho que vai me dar uma ajuda na segurança, pelo que vi no tutorial esse fail2ban consegue punir tentativas frustradas de login no meu sistema, bem interessante.

Nessa screenshot houve apenas um acesso via chave, que imagino ser o seu, são as duas linhas com sshd. Você desabilitou login por senha? Não adianta utilizar uma chave se o login via senha continuar habilitado.

Quando eu tirei essa screenshot eu tinha acabado de me ligar nele.

Não desabilitei o login por senha. Eu acesso a máquina através de um programa portátil de acesso de ssh no meu USB, é parecido com o famoso putty mas tem muito mais funcionalidade, se chama mobaxterm.

Pelo que eu entendi, a comunicação por ssh me obriga a ter uma chave privada dentro da minha máquina que vai ser comunicar com a chave privada do servidor, tudo isso através das chaves públicas. Mas como eu acesso de computadores aleatórios o tempo todo, não tenho comigo a chave privada nunca.

Isso que eu falei faz sentido? Eu ainda não testei fazer uma conexão por chaves usando esse programa ainda.

Criar uma chave e manter login por senha habilitado não ajuda em nada, a máquina poderia ser facilmente invadida por um brute force da senha.