Eu escrevi um comando bash para verificar /var/log/auth.log das mensagens que ocorrem no dia atual, indicando acesso não autorizado. Atualmente, ele apenas busca mensagens correspondentes a BREAK-IN e unauthorized .
Quais outras strings devo pesquisar em /var/log/auth.log para manter o acesso não autorizado?
Aqui está o script para referência:
cat /var/log/auth.log|grep "$(date|awk '{print $2" "$3}')"|grep -E '(BREAK-IN|Invalid user|Failed|refused|su|Illegal)'
Aqui está o comando alterado com base nas sugestões do Justins e o que encontrei no Google
grep "$(date|awk '{print $2" "$3}')" /var/log/auth.log|grep -E '(BREAK-IN|Invalid user|Failed|refused|su|Illegal)'
Você pode procurar por "Usuário inválido", que é acionado quando alguém tenta fazer logon com uma conta que não existe. Ele também emitirá "Senha com falha" quando você inserir uma senha inválida.
Além disso, você não precisa usar o cat para descarregar o arquivo para o grep. Grep já pode olhar para o arquivo como sua segunda opção. 'Grep search-criteria / path / tp / file'