Файлы, в которых регистрируются попытки взлома
Ubuntu Server с Apache, хостинг нескольких сайтов и почтовых серверов.
Кроме того /var/log/auth.logЕсть ли другие места, где регистрируются попытки взлома?
Контекст: у меня было много попыток взлома. Тогда я отключил пароль входа в систему для root. Теперь я только вхожу в root через ключи SSH. Кроме того, нет учетных записей пользователей без полномочий root.
Я не вижу попыток взлома /var/log/auth.log больше Это странно для меня, потому что я знаю людей, которые все еще пытаются взломать мой сервер.
Итак, мой вопрос в рамках моего нового механизма аутентификации:
Неужели "потенциальные взломщики" не могут добраться до точки на моем сервере, где будут регистрироваться их попытки?
или это я смотрю не в тот лог файл (
/var/log/auth.log)?
Если (2), то где я должен проверять попытки взлома?
1 ответ
Ошибки аутентификации SSH по умолчанию записываются в /var/log/auth.log.
После описанных вами изменений вы все равно должны увидеть, что здесь произошли сбои аутентификации - что-то еще должно было измениться. У меня полностью отключен вход в систему root, а аутентификация на основе ключей отключена только с паролями для учетных записей пользователей. Я все еще вижу несколько сбоев в час в auth.log, прежде чем они блокируются с помощью fail2ban.
Хорошо спроектированные сервисы будут регистрировать ошибки аутентификации в системном журнале auth средство и будет зарегистрирован здесь, а также. Рекомендуется экспортировать ваши журналы на удаленный сервер системного журнала, чтобы злоумышленнику было трудно скрыть свое вторжение, если он получил root.
В более общем смысле "попытки взлома" - слишком неопределенный термин для этого вопроса. Это может означать что угодно, от внедрения SQL до переполнения буфера. Попытки вторжения могут быть тонкими и трудными или невозможными отличить от законного трафика. Вы не можете обнаружить каждую атаку.