我有一个关于 Debian 机器上的日志文件的问题。我正在运行一个低容量的 PHP 服务器,因此大多数日志文件都很小。然而,auth、fail2ban( 和daemon) 是巨大的,即使有日志旋转。
2000K auth.log
600K fail2ban.log
200K daemon.log
5K dpkg.log
5K mail.log
5K alternatives.log
1K user.log
1K kern.log
1K php7.0-fpm.log
fail2ban仅包含大量带有 的行INFO/NOTICE [sshd] Found (IP)并包含带有和 的auth各种行,大概来自自动攻击。user unknownFailed password
(服务器上的 SSH 已关闭密码登录,并且只能通过 RSA 密钥访问。)
我无法手动阅读auth.log,并且失败的登录尝试似乎没有价值的信息,因为它一直在发生(并且做过失败),那么我如何关联这两个文件呢?
我可以将它们配置为包含更少的信息吗?有没有办法汇总所有失败的情况?它们中是否有任何东西可以识别出更严重或更实际的闯入行为?
或者我应该忽略日志文件并专注于一般系统强化,并接受不幸的是日志文件在当今时代会有很多噪音?
答案1
您应该将 SSH 服务器运行的端口从 22 更改为另一个(更高)端口,例如 22222。
自动攻击者使用默认端口,因此他们无法连接,因此不会被记录。
虽然这种对策对于人类攻击者毫无用处(对服务器进行端口扫描将放弃 SSH 端口),但对于僵尸程序却非常有效。将其视为额外的安全层。