Lista nieudanych prób logowania na Mavericks

9

Chcę sprawdzić, czy ktoś próbował zalogować się na moim komputerze z systemem Mavericks. Interesuje mnie przede wszystkim śledzenie prób logowania ssh, a także śledzenie osób fizycznie wpisujących hasła na klawiaturze, aby spróbować się zalogować.

Związane z

Widziałem Jak zalogować się i wylogować na Mavericks? , ale lastwydaje się zawierać listę tylko udanych logowań lub przynajmniej pokazuje w większości udane loginy.

Widziałem również odpowiedź na temat przeglądania w pliku system.log lub „wszystkich wiadomościach” za pomocą narzędzia konsoli, ale te pliki / wiadomości wydają się bardzo zagracone.

Powiązane pytania i odpowiedzi dotyczące starszych wersji OSX

Jacob Akkerboom
źródło
Czy chcesz śledzić logowanie ssh, logowanie do lokalnej konsoli, logowanie do udostępniania ekranu, otwieranie terminala? Co oznacza „zaloguj się” i szukasz jakiegoś rozwiązania lub tylko takiego, które można skryptować z poziomu powłoki?
bmike
@bike Nie wiem, co to jest logowanie do udostępniania ekranu. Interesują mnie dwie pierwsze opcje, shh i konsola lokalna. Jakiś czas temu zhakowano moje konto na serwerze znajomych, ponieważ dane uwierzytelniające, które stworzyliśmy, były głupie i włączyliśmy ssh. Na szczęście nie zadano żadnych obrażeń. Zastanawiałem się, czy takie ataki można znaleźć w dzienniku, ale interesują mnie również osoby fizycznie wpisujące hasła na klawiaturze, aby spróbować się zalogować.
Jacob Akkerboom
Doskonałe dopracowanie pytania. Chciałem zapytać, jak skonfigurować wyzwalacz ssh, aby zapobiec powtarzającym się próbom logowania. Odpowiedzi tutaj mogą dać mi kilka pomysłów na wdrożenie tego rodzaju automatycznej ochrony.
bmike

Odpowiedzi:

7

Możesz użyć tej komendy Terminal:

cat /private/var/log/system.log | grep "Failed to authenticate"
Feb 11 16:48:04 g authorizationhost[15313]: Failed to authenticate user <grgarside> (error: 9).
Feb 11 16:48:06 g authorizationhost[15313]: Failed to authenticate user <grgarside> (error: 9).
grg
źródło
+1. Niestety system.log zawiera tylko wpisy z 11 lutego.
Jacob Akkerboom
3
Coś jak w zgrep "whatever" /path/to/system.log*przypadku niektórych procesów sprawdzałoby wszystkie skompresowane dzienniki, które pozostają w systemie. Zastanawiam się, czy istnieje sposób, aby wywołać program rejestrujący system Apple, aby uzyskać bardziej płaski widok zawartości wielu plików dziennika.
bmike
Wszystko na Yosemite: BAD SUa incorrect passwordto słowa kluczowe, aby szukać dla nieudanych prób w celu uwierzytelnienia użytkownika sui sudoodpowiednio. Ssh generuje authentication error forw tym samym pliku dziennika. Nie udało mi się wygenerować wiadomości zawierającej Failed to authenticate.
Jacob Akkerboom