我如何与巨大的 auth.log 和 failure2ban.log 文件关联?

我如何与巨大的 auth.log 和 failure2ban.log 文件关联?

我有一个关于 Debian 机器上的日志文件的问题。我正在运行一个低容量的 PHP 服务器,因此大多数日志文件都很小。然而,authfail2ban( 和daemon) 是巨大的,即使有日志旋转。

2000K auth.log
 600K fail2ban.log
 200K daemon.log
   5K dpkg.log
   5K mail.log
   5K alternatives.log
   1K user.log
   1K kern.log
   1K php7.0-fpm.log

fail2ban仅包含大量带有 的行INFO/NOTICE [sshd] Found (IP)并包含带有和 的auth各种行,大概来自自动攻击。user unknownFailed password

(服务器上的 SSH 已关闭密码登录,并且只能通过 RSA 密钥访问。)

我无法手动阅读auth.log,并且失败的登录尝试似乎没有价值的信息,因为它一直在发生(并且做过失败),那么我如何关联这两个文件呢?

我可以将它们配置为包含更少的信息吗?有没有办法汇总所有失败的情况?它们中是否有任何东西可以识别出更严重或更实际的闯入行为?

或者我应该忽略日志文件并专注于一般系统强化,并接受不幸的是日志文件在当今时代会有很多噪音?

答案1

您应该将 SSH 服务器运行的端口从 22 更改为另一个(更高)端口,例如 22222。

自动攻击者使用默认端口,因此他们无法连接,因此不会被记录。

虽然这种对策对于人类攻击者毫无用处(对服务器进行端口扫描将放弃 SSH 端口),但对于僵尸程序却非常有效。将其视为额外的安全层。

相关内容