Список неудачных попыток входа на Mavericks

9

Я хочу посмотреть, пытался ли кто-нибудь войти в систему на моем компьютере, на котором работает Mavericks. В первую очередь меня интересует отслеживание попыток входа в систему через ssh, а также отслеживание людей, которые физически вводят пароли на моей клавиатуре, чтобы попытаться войти в систему.

связанные с

Я видел, как войти в систему и выйти на Mavericks? , но, lastкажется, перечисляет только успешные входы в систему, или, по крайней мере, в основном показывает успешные входы в систему.

Я также видел ответ о просмотре в system.log или «всех сообщениях», используя консольную утилиту, но эти файлы / сообщения кажутся очень загроможденными.

Связанные вопросы и ответы для более старых версий OSX

macos mavericks security login logs Джейкоб Аккербоом
источник
Вы ищете для отслеживания входа в SSH, входа в локальную консоль, совместного использования экрана, открытие терминала? Что означает «вход в систему», и вы ищете какое-либо решение или только то, которое можно написать из оболочки?
bmike
@bmike Я не знаю, что такое логин для совместного использования экрана. Меня интересуют первые два варианта, тсс и локальная консоль. Некоторое время назад моя учетная запись на сервере друзей была взломана, поскольку учетные данные, которые мы составили, были глупыми, и мы включили ssh. К счастью, никакого ущерба не было. Мне было интересно, можно ли найти такие атаки в журнале, но мне также интересно, чтобы люди физически набирали пароли на моей клавиатуре, чтобы попытаться войти в систему.
Джейкоб Аккербоом,
Отличное уточнение по этому вопросу. Я хотел спросить, как настроить триггер ssh, чтобы предотвратить повторные попытки входа в систему. Ответы здесь могут дать мне некоторые идеи о том, как реализовать такую ​​автоматизированную защиту.
bmike

Ответы:

7

Вы можете использовать эту команду терминала:

cat /private/var/log/system.log | grep "Failed to authenticate"

Feb 11 16:48:04 g authorizationhost[15313]: Failed to authenticate user <grgarside> (error: 9).
Feb 11 16:48:06 g authorizationhost[15313]: Failed to authenticate user <grgarside> (error: 9).
Grg
источник
+1. К сожалению, system.log содержит только записи с 11 февраля.
Jacob Akkerboom
3
Что-то вроде zgrep "whatever" /path/to/system.log*некоторой обработки проверяет все сжатые журналы, которые остаются в системе. Интересно, есть ли способ вызвать системный журнал Apple, чтобы получить более точный обзор содержимого нескольких файлов журнала.
bmike
Все на Yosemite: BAD SUи incorrect passwordявляются ключевыми словами для поиска неудачных попыток аутентификации suи sudoсоответственно. Ssh генерирует authentication error forв этом же файле журнала. Я не смог создать сообщение, содержащее Failed to authenticate.
Джейкоб Аккербоом