Cómo encontrar todos los intentos de inicio de sesión SSH fallidos en Ubuntu

Cómo encontrar todos los intentos de inicio de sesión SSH fallidos en Ubuntu

En este artículo, aprenderás cómo buscar y analizar todos los intentos de inicio de sesión SSH fallidos en un servidor Ubuntu. Esto es importante porque los intentos fallidos de inicio de sesión en SSH pueden indicar un intento de perforación o hacking, por lo que es importante mantener un registro de ellos para su posterior análisis. Aquí te enseñaremos cómo encontrar y analizar todos estos intentos.

📋 Aquí podrás encontrar✍
  1. Requisitos previos
  2. Procedimiento
    1. Paso 1: Accede a la terminal de Ubuntu
    2. Paso 2: Accede al archivo /var/log/auth.log
    3. Paso 3: Busca los intentos de inicio de sesión fallidos
    4. Paso 4: Salir del comando de búsqueda
    5. Paso 5: Analiza los intentos de inicio de sesión fallidos
    6. Paso 6: Bloquea la dirección IP malintencionada
  3. Conclusión
  4. Preguntas frecuentes
    1. ¿Debo borrar los registros constantemente para mantener el servidor rápido?
    2. ¿Es necesario monitorear los registros de autenticación?
    3. ¿Cómo puedo verificar si mi servidor ha sido comprometido?
    4. ¿Qué es un firewall en Ubuntu?

Requisitos previos

Para seguir los pasos de este tutorial, es necesario que:

  • Tengas acceso de root o un usuario con permisos sudo en el servidor Ubuntu.
  • Tengas acceso a la terminal de Ubuntu.

Procedimiento

Paso 1: Accede a la terminal de Ubuntu

Para comenzar, abre una terminal de Ubuntu.

Paso 2: Accede al archivo /var/log/auth.log

Ejecuta el siguiente comando para acceder al archivo /var/log/auth.log en modo de visualización:

sudo less /var/log/auth.log

Deberías ver algo parecido a lo siguiente:

Log de autenticación de Ubuntu

Paso 3: Busca los intentos de inicio de sesión fallidos

Utiliza el siguiente comando para buscar los intentos de inicio de sesión fallidos en el archivo /var/log/auth.log:

sudo grep 'sshd.*Failed' /var/log/auth.log

Este comando buscará todas las líneas en el archivo auth.log que contengan "sshd" y "Failed". Deberías obtener una salida similar a la siguiente:

SSH Fallido Ubuntu

Esta salida muestra los intentos de inicio de sesión fallidos con la dirección ip, hora y fecha.

Paso 4: Salir del comando de búsqueda

Una vez que hayas terminado de buscar, presiona la tecla Q para salir del comando de búsqueda.

Paso 5: Analiza los intentos de inicio de sesión fallidos

Ahora que tienes una lista de todos los intentos de inicio de sesión fallidos, puedes comenzar a analizarlos. Es importante buscar patrones y ver si hay una dirección IP en particular que esté tratando de acceder al servidor de manera malintencionada.

Paso 6: Bloquea la dirección IP malintencionada

Después de haber analizado los intentos de inicio de sesión fallidos, es importante bloquear todas las direcciones IP malintencionadas que hayas encontrado. El siguiente comando te ayudará a bloquear una IP:

sudo iptables -A INPUT -s IP.MALICIOSA -j DROP

Solo debes reemplazar "IP.MALICIOSA" con la dirección ip que deseas bloquear.

Conclusión

En este tutorial, aprendimos cómo buscar y analizar todos los intentos de inicio de sesión SSH fallidos en una máquina Ubuntu, y cómo bloquear una dirección IP malintencionada. La seguridad es uno de los aspectos más importantes que debes considerar al administrar un servidor, así que asegúrate de realizar un seguimiento de las actividades sospechosas y de mantener tu servidor IPv4 seguro.

Preguntas frecuentes

¿Debo borrar los registros constantemente para mantener el servidor rápido?

No es necesario borrar los registros constantemente. Puedes configurar una rotación de registros en Ubuntu para asegurarte de que los registros se borren automáticamente después de un tiempo determinado. Por ejemplo, puedes configurar que se borren los registros después de un mes o después de alcanzar un tamaño determinado.

¿Es necesario monitorear los registros de autenticación?

Sí, es importante monitorear los registros de autenticación para mantener la seguridad de tu servidor Ubuntu. Debes prestar atención a los intentos de inicio de sesión fallidos y bloquear a cualquier dirección IP malintencionada.

¿Cómo puedo verificar si mi servidor ha sido comprometido?

Existen varias señales que indican que tu servidor ha sido comprometido, incluyendo el aumento en la actividad de uso de CPU o en la transferencia de datos, la aparición de nuevos usuarios o archivos, o un comportamiento inusual en los registros. Si sospechas que tu servidor ha sido comprometido, es importante tomar medidas inmediatas para resolver el problema y asegurar la integridad del servidor.

¿Qué es un firewall en Ubuntu?

Un firewall en Ubuntu es una herramienta que ayuda a bloquear el tráfico no deseado en tu servidor. Puedes usar la configuración de firewall para permitir solo el tráfico que deseas permitir y bloquear todo lo demás. Esto ayuda a proteger tu servidor de posibles amenazas externas y garantiza su seguridad.

Instalar y Usar G++ en Ubuntu

Instalar y Usar G++ en Ubuntu

Cómo instalar Snort en Ubuntu 22.04

Cómo instalar Snort en Ubuntu 22.04

Cómo obtener una lista de todos los repositorios y PPAs instalados en Ubuntu

Cómo obtener una lista de todos los repositorios y PPAs instalados en Ubuntu

Cómo configurar un servidor y cliente de NTP en Ubuntu

Cómo configurar un servidor y cliente de NTP en Ubuntu

Instalar y usar la interfaz gráfica de 7zip en Ubuntu

Instalar y usar la interfaz gráfica de 7zip en Ubuntu

Cómo iniciar desde un USB usando Grub

Cómo iniciar desde un USB usando Grub

Cómo listar paquetes instalados en Ubuntu

Cómo listar paquetes instalados en Ubuntu

Cómo deshabilitar IPv6 en Ubuntu 22.04

Cómo deshabilitar IPv6 en Ubuntu 22.04

Cómo verificar la velocidad de enlace en Ubuntu

Cómo verificar la velocidad de enlace en Ubuntu

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir