Répertorier les tentatives de connexion infructueuses sur Mavericks

9

Je veux voir si quelqu'un a essayé de se connecter sur mon ordinateur, qui exécute Mavericks. Je suis principalement intéressé par le suivi des tentatives de connexion ssh, ainsi que le suivi des personnes tapant physiquement des mots de passe sur mon clavier pour essayer de se connecter.

en relation

J'ai vu Comment se connecter et se déconnecter sur Mavericks? , mais lastsemble ne répertorier que les connexions réussies, ou du moins il affiche principalement les connexions réussies.

J'ai également vu une réponse concernant la recherche dans system.log ou "tous les messages", en utilisant l'utilitaire de la console, mais ces fichiers / messages semblent très encombrés.

Questions et réponses connexes pour les anciennes versions OSX

Jacob Akkerboom
la source
Cherchez-vous à suivre la connexion ssh, la connexion à la console locale, la connexion au partage d'écran, l'ouverture du terminal? Que signifie «se connecter» et recherchez-vous une solution ou simplement une solution scriptable à partir d'un shell?
bmike
@bmike Je ne sais pas ce qu'est une connexion de partage d'écran. Je suis intéressé par les deux premières options, chut et console locale. Il y a quelque temps, mon compte sur un serveur d'amis a été piraté, car les informations d'identification que nous avons créées étaient stupides et nous avions activé ssh. Heureusement, aucun dégât n'a été infligé. Je me demandais si de telles attaques pouvaient être trouvées dans un journal, mais je suis également intéressé par les gens qui tapent physiquement les mots de passe sur mon clavier pour essayer de se connecter.
Jacob Akkerboom
Excellent raffinement sur la question. Je voulais demander comment configurer un déclencheur ssh pour empêcher les tentatives de connexion répétées. Les réponses ici pourraient me donner quelques idées sur la façon de mettre en œuvre ce type de protection automatisée.
bmike

Réponses:

7

Vous pouvez utiliser cette commande Terminal:

cat /private/var/log/system.log | grep "Failed to authenticate"
Feb 11 16:48:04 g authorizationhost[15313]: Failed to authenticate user <grgarside> (error: 9).
Feb 11 16:48:06 g authorizationhost[15313]: Failed to authenticate user <grgarside> (error: 9).
grg
la source
+1. Malheureusement, system.log ne contient que des entrées du 11 février
Jacob Akkerboom
3
Quelque chose comme zgrep "whatever" /path/to/system.log*avec certains traitements vérifierait tous les journaux compressés qui restent sur le système. Je me demande s'il existe un moyen d'appeler l'enregistreur de système Apple pour obtenir une vue plus plate du contenu de plusieurs fichiers journaux.
bmike
Tout sur Yosemite: BAD SUet incorrect passwordsont des mots clés pour rechercher les tentatives infructueuses d'authentification par suet sudorespectivement. Ssh génère authentication error fordans ce même fichier journal. Je n'ai pas pu générer de message contenant Failed to authenticate.
Jacob Akkerboom