Cuando configuramos un acceso por SSH a un servidor lo primero que deberíamos de hacer, además de bloquear el acceso al usuario root, es permitir el acceso solo por pares de claves (pública/privada).
De todas formas podemos ver los intentos de acceso o accesos correctos que hemos tenido.
Para ver los intentos incorrectos usaremos el siguiente comando:
sudo cat /var/log/auth.log | grep ‘sshd.*Invalid’
Para ver los intentos correctos usaremos el siguiente comando:
cat /var/log/auth.log | grep ‘sshd.*opened’
Y si lo queremos ver en tiempo real, para depurar, para ver un ataque en tiempo real,… añadimos a esto el comando tail:
sudo tail -f /var/log/auth.log | grep ‘sshd.*Invalid’
o
sudo tail -f /var/log/auth.log | grep ‘sshd.*opened’