Listen Sie fehlgeschlagene Anmeldeversuche bei Mavericks auf

9

Ich möchte sehen, ob jemand versucht hat, sich auf meinem Computer anzumelden, auf dem Mavericks ausgeführt wird. Ich bin in erster Linie daran interessiert, SSH-Anmeldeversuche zu verfolgen sowie Personen zu verfolgen, die physisch Passwörter auf meiner Tastatur eingeben, um zu versuchen, sich anzumelden.

verbunden

Ich habe gesehen, wie man sich bei Mavericks an- und abmeldet. , lastscheint aber nur erfolgreiche Anmeldungen aufzulisten, oder zumindest zeigt es meistens erfolgreiche Anmeldungen an.

Ich habe auch eine Antwort über das Suchen in system.log oder "alle Nachrichten" mit dem Konsolendienstprogramm gesehen, aber diese Dateien / Nachrichten scheinen sehr überladen zu sein.

Verwandte Fragen und Antworten zu älteren OSX-Versionen

macos mavericks security login logs Jacob Akkerboom
quelle
Möchten Sie die SSH-Anmeldung, die lokale Konsolenanmeldung, die Bildschirmfreigabeanmeldung und das Öffnen des Terminals verfolgen? Was bedeutet "Anmelden" und suchen Sie nach einer Lösung oder nur einer, die über eine Shell skriptfähig ist?
bmike
@bmike Ich weiß nicht, was eine Bildschirmfreigabe ist. Ich interessiere mich für die ersten beiden Optionen, shh und lokale Konsole. Vor einiger Zeit wurde mein Konto auf einem Server eines Freundes gehackt, da die von uns erstellten Anmeldeinformationen albern waren und wir ssh aktiviert hatten. Zum Glück wurde kein Schaden zugefügt. Ich habe mich gefragt, ob solche Angriffe in einem Protokoll gefunden werden können, aber ich bin auch daran interessiert, dass Leute Passwörter physisch auf meiner Tastatur eingeben, um sich anzumelden.
Jacob Akkerboom
Hervorragende Verfeinerung der Frage. Ich wollte fragen, wie man einen SSH-Trigger einrichtet, um wiederholte Anmeldeversuche zu verhindern. Die Antworten hier könnten mir einige Ideen geben, wie diese Art von automatisiertem Schutz implementiert werden kann.
bmike

Antworten:

7

Sie können diesen Terminalbefehl verwenden:

cat /private/var/log/system.log | grep "Failed to authenticate"

Feb 11 16:48:04 g authorizationhost[15313]: Failed to authenticate user <grgarside> (error: 9).
Feb 11 16:48:06 g authorizationhost[15313]: Failed to authenticate user <grgarside> (error: 9).
grg
quelle
+1. Leider enthält system.log nur Einträge vom 11. Februar.
Jacob Akkerboom
3
So etwas wie zgrep "whatever" /path/to/system.log*bei einer Verarbeitung würden alle komprimierten Protokolle überprüft, die auf dem System verbleiben. Ich frage mich, ob es eine Möglichkeit gibt, den Apple System Logger aufzurufen, um eine flachere Ansicht des Inhalts mehrerer Protokolldateien zu erhalten.
bmike
Alle auf Yosemite: BAD SUund incorrect passwordsind Schlüsselwörter für für gescheiterte Versuche zum Authentifizieren von suchen suund sudojeweils. Ssh wird authentication error forin derselben Protokolldatei generiert . Ich konnte keine Nachricht generieren, die enthält Failed to authenticate.
Jacob Akkerboom