Cara cek log SSH

Tahukah anda kalau setiap saat ada usaha login SSH dari bot yang berusaha masuk ke server? Biasanya karena semua tampak normal maka banyak yang melupakan aspek bahayanya VPS yang tersambung selalu ke internet. Nah… di Linux sendiri setiap usaha login yang sukses maupun gagal akan tercatat dalam lognya. Tahu disimpan di file apa dan dimana? 😀

Sangat – sangat mudah sekali kok, tinggal anda buka saja file berikut:

tail -10 /var/log/auth.log

Dimana saya akan menampilkan 10 baris catatan ototentikasi yang terbaru:

Dec 26 11:09:36 servernesia sshd[9462]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.116.39  user=root
Dec 26 11:09:38 servernesia sshd[9462]: Failed password for root from 192.168.116.39 port 23704 ssh2
Dec 26 11:09:40 servernesia sshd[9462]: Failed password for root from 192.168.116.39 port 23704 ssh2
Dec 26 11:09:43 servernesia sshd[9462]: Failed password for root from 192.168.116.39 port 23704 ssh2
Dec 26 11:09:43 servernesia sshd[9462]: Received disconnect from 192.168.116.39: 11:  [preauth]
Dec 26 11:09:43 servernesia sshd[9462]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.116.39  user=root
Dec 26 11:10:01 servernesia CRON[9503]: pam_unix(cron:session): session opened for user root by (uid=0)
Dec 26 11:10:01 servernesia CRON[9503]: pam_unix(cron:session): session closed for user root
Dec 26 11:11:01 servernesia CRON[9576]: pam_unix(cron:session): session opened for user root by (uid=0)
Dec 26 11:11:01 servernesia CRON[9576]: pam_unix(cron:session): session closed for user root

Secara keseluruhan anda bisa melihat aktivitasnya disini. Mulai dari kegagalan login dari alamat IP berapa, pakai port berapa dan protokol apa. Proses cron juga akan tercatat disini. Intinya isi dari file auth.log itu tidak soal login SSH saja, jadinya campur aduk.

Tapi kalau anda ingin tahu secara spesifik hanya usaha login yang gagal, bisa pakai ini:

grep sshd.\*Failed /var/log/auth.log | less

Saya sarankan minimal anda ganti port SSH dan install fail2ban untuk meningkatkan keamanan VPSnya.

Leave a Comment