当查看我的 /var/log/secure 日志文件时,我可以看到尝试通过 SSH 登录我的 CentOS 系统,但是用户名是空白的。我自己通过输入错误的用户名重新创建了这个,但日志仍然显示它是空白的。
Feb 11 15:40:02 centos sshd[15369]: Invalid user from xxx.181.90.221 port 51474
Feb 11 15:40:48 centos sshd[15394]: Invalid user from xxx.181.90.221 port 51514
Feb 11 15:40:57 centos sshd[15396]: Invalid user from xxx.181.90.221 port 51526
Feb 11 15:49:15 centos sshd[15462]: Invalid user from xxx.181.90.221 port 51933
Feb 11 15:49:24 centos sshd[15464]: Invalid user from xxx.181.90.221 port 51941
Feb 11 15:49:31 centos sshd[15466]: Invalid user from xxx.181.90.221 port 51948
Feb 11 15:58:55 centos sshd[15622]: Invalid user from xxx.181.90.221 port 52415
Feb 11 15:59:02 centos sshd[15624]: Invalid user from xxx.181.90.221 port 52422
Feb 11 15:59:08 centos sshd[15626]: Invalid user from xxx.181.90.221 port 52427
Feb 11 16:05:13 centos sshd[15684]: Invalid user from xxx.181.90.221 port 52723
Feb 11 16:05:37 centos sshd[15688]: Invalid user from xxx.181.90.221 port 52741
Feb 11 16:15:10 centos sshd[15776]: Invalid user from xxx.181.90.221 port 53203
Feb 11 16:19:23 centos sshd[3862]: Invalid user from xxx.181.90.221 port 53410
知道如何才能提供尝试的用户名吗?这似乎是在我设置 Fail2Ban 后开始发生的。
谢谢!
编辑:看起来它只会记录从内部 IP 地址尝试的用户名。任何外部 IP 地址都不会记录用户名。这是尝试连接的外部地址:
Feb 11 16:19:23 centos sshd[3862]: Invalid user from xxx.181.90.221 port 53410
这是来自内部 IP 的:
Feb 11 19:12:33 centos sshd[4193]: Invalid user badusername from 192.168.1.10 port 1718
答案1
fail2ban本身不会改变任何日志记录过程。它只是读取生成的日志。但是,我可以通过指定空用户名来重现该问题:
ssh -l '' remote_host
/var/log/auth.log我的 Debian 服务器上相应的日志条目是
Feb 12 16:35:43 remote_host sshd[6738]: Invalid user from 192.168.xx.yy port 26677
Feb 12 16:35:43 remote_host sshd[6738]: input_userauth_request: invalid user [preauth]
user仔细观察,您可以看到第一行之间和from第一行中的双倍空格,如您自己的日志中所示。