Ubuntu Server с Apache, на котором размещены несколько веб-сайтов и почтовых серверов.
Кроме /var/log/auth.log
, есть ли другие места, где регистрируются попытки взлома?
Контекст: у меня было много попыток взлома. Тогда я отключил пароль входа в систему для root. Теперь я только вхожу в root через ключи SSH. Кроме того, нет учетных записей пользователей без полномочий root.
Я больше не вижу попыток взлома в /var/log/auth.log
. Это странно для меня, потому что я знаю людей, которые все еще пытаются взломать мой сервер.
Итак, мой вопрос в рамках моего нового механизма аутентификации:
заключается в том, что «потенциальные взломщики» не могут добраться до точки на моем сервере, где их попытки будут быть зарегистрирован?
или это я смотрю в неправильный файл журнала (/var/log/auth.log
)?
Если (2) тогда где я должен проверять попытки взлома?
Отказы аутентификации SSH зарегистрированы по умолчанию к /var/log/auth.log.
необходимо все еще видеть подлинные отказы быть зарегистрированными там после изменений, которые Вы описываете - что-то еще, должно быть, изменилось. У меня есть корневой вход в систему, отключенный полностью, и основанный на ключе автор только с паролями, отключенными для учетных записей пользователей. Я все еще вижу несколько отказов в час в auth.log, прежде чем они будут заблокированы с fail2ban.
Хорошо разработанные сервисы зарегистрируют ошибки аутентификации с системным журналом auth
средство и были бы зарегистрированы здесь также. Это - хорошая практика для экспорта журналов в удаленный сервер системного журнала, чтобы мешать взломщику скрывать их проникновение, если они получают корень.
В более общем смысле, "попытки взлома" являются слишком неопределенным термином для этого вопроса. Это могло означать что-либо от Внедрения SQL до переполнения буфера. Попытки проникновения могут быть тонкими и трудными или невозможными различать от правомерного трафика. Вы не можете обнаружить каждое нападение.
gedit .xsessionrc
не работает. – Emad Arshad Alam 10 November 2016 в 16:23