Sur les système Linux, chaque tentative de connexion est enregistrer dans un fichier log par de démon (service) rsyslog. La méthode la plus simple pour répertorier toutes les tentatives de connexion SSH échouées sous Linux est une combinaison d’affichage et de filtrage des fichiers journaux à l’aide de la commande cat ou de la commande grep.
Dans ce guide, vous trouverez les différentes commandes permet d’afficher et de filtrer ces logs afin de n’afficher que les échecs de connexion SSH.
La commande la plus simple pour répertorier toutes les connexions SSH ayant échoué est celle indiquée ci-dessous.
grep ‘Failed password’ /var/log/auth.log
Le même résultat peut également être obtenu en émettant la commande cat.
cat /var/log/auth.log | grep ‘Failed password’
Sur les distributions Linux plus récentes, vous pouvez interroger les journaux gérés par le démon Systemd via la commande journalctl. Afin d’afficher toutes les tentatives de connexion SSH ayant échoué, vous devez diriger le résultat via le filtre grep, comme illustré dans les exemples de commande ci-dessous.
journalctl _SYSTEMD_UNIT=ssh.service | egrep ‘Failed|Failur’
Après avoir identifié les adresses IP qui tentent fréquemment de se connecter à votre serveur SSH, vous devez mettre à jour les règles de pare-feu de votre système pour bloquer ces adresses IP, pour cela vous pouvez utiliser un logiciel tel que fail2ban.
