файлы, в которых регистрируются попытки взлома

Question 1

Ubuntu Server с Apache, на котором размещены несколько веб-сайтов и почтовых серверов.

Кроме /var/log/auth.log, есть ли другие места, где регистрируются попытки взлома?

Контекст: у меня было много попыток взлома. Тогда я отключил пароль входа в систему для root. Теперь я только вхожу в root через ключи SSH. Кроме того, нет учетных записей пользователей без полномочий root.

Я больше не вижу попыток взлома в /var/log/auth.log. Это странно для меня, потому что я знаю людей, которые все еще пытаются взломать мой сервер.

Итак, мой вопрос в рамках моего нового механизма аутентификации:

заключается в том, что «потенциальные взломщики» не могут добраться до точки на моем сервере, где их попытки будут быть зарегистрирован?
или это я смотрю в неправильный файл журнала (/var/log/auth.log)?

Если (2) тогда где я должен проверять попытки взлома?

Question 2

Отказы аутентификации SSH зарегистрированы по умолчанию к /var/log/auth.log.

необходимо все еще видеть подлинные отказы быть зарегистрированными там после изменений, которые Вы описываете - что-то еще, должно быть, изменилось. У меня есть корневой вход в систему, отключенный полностью, и основанный на ключе автор только с паролями, отключенными для учетных записей пользователей. Я все еще вижу несколько отказов в час в auth.log, прежде чем они будут заблокированы с fail2ban.

Хорошо разработанные сервисы зарегистрируют ошибки аутентификации с системным журналом auth средство и были бы зарегистрированы здесь также. Это - хорошая практика для экспорта журналов в удаленный сервер системного журнала, чтобы мешать взломщику скрывать их проникновение, если они получают корень.

В более общем смысле, "попытки взлома" являются слишком неопределенным термином для этого вопроса. Это могло означать что-либо от Внедрения SQL до переполнения буфера. Попытки проникновения могут быть тонкими и трудными или невозможными различать от правомерного трафика. Вы не можете обнаружить каждое нападение.

Steven K · Answer 1 · 31 August 2015 в 18:36

Отказы аутентификации SSH зарегистрированы по умолчанию к /var/log/auth.log.

необходимо все еще видеть подлинные отказы быть зарегистрированными там после изменений, которые Вы описываете - что-то еще, должно быть, изменилось. У меня есть корневой вход в систему, отключенный полностью, и основанный на ключе автор только с паролями, отключенными для учетных записей пользователей. Я все еще вижу несколько отказов в час в auth.log, прежде чем они будут заблокированы с fail2ban.

Хорошо разработанные сервисы зарегистрируют ошибки аутентификации с системным журналом auth средство и были бы зарегистрированы здесь также. Это - хорошая практика для экспорта журналов в удаленный сервер системного журнала, чтобы мешать взломщику скрывать их проникновение, если они получают корень.

В более общем смысле, "попытки взлома" являются слишком неопределенным термином для этого вопроса. Это могло означать что-либо от Внедрения SQL до переполнения буфера. Попытки проникновения могут быть тонкими и трудными или невозможными различать от правомерного трафика. Вы не можете обнаружить каждое нападение.

где .xsessionrc файл расположен? потому что gedit .xsessionrc не работает. — Emad Arshad Alam, 10 November 2016 в 16:23

файлы, в которых регистрируются попытки взлома

1 ответ

Другие вопросы по тегам:

Похожие вопросы: