我正在设置一个小型 VPS(最后一个 Centos),但我的 SSHD 日志出现了问题。我想安装 fail2ban,一切似乎都运行良好,但我注意到安全日志中有很多暴力破解尝试,但似乎没有任何东西被记录下来。通过进一步调查,我发现很多这些尝试恰好在将来被记录下来。我猜这可能是 fail2ban 的问题。
有人知道为什么我的 SSHD 将来会记录事件吗?谢谢。
以下是我所说的一个例子:
[root@myhost log]# date
Mon Nov 1 11:44:57 EDT 2010
--- /var/log/secure 的内容
Nov 1 09:01:21 myhost sshd[5381]: pam_unix(sshd:auth): check pass; user unknown
Nov 1 09:01:21 myhost sshd[5381]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=221.XX.XX.XX
Nov 1 09:01:23 myhost sshd[5381]: Failed password for invalid user smecher from 221.XX.XX.XX port 22502 ssh2
Nov 1 13:01:23 myhost sshd[5384]: Received disconnect from 221.XX.XX.XX: 11: Bye Bye
Nov 1 13:01:33 myhost sshd[5409]: Connection closed by 221.XX.XX.XX
Nov 1 09:03:01 myhost crond[7335]: pam_loginuid(crond:session): set_loginuid failed opening loginuid
Nov 1 09:18:01 myhost crond[30300]: pam_loginuid(crond:session): set_loginuid failed opening loginuid
如您所见,来自 221.XX.XX.XX 的尝试是在将来的。我真的很想知道为什么。
答案1
也许 sshd 进程正在从某处继承 TZ 环境变量,这导致它错误报告时间。
也可能是您的提供商的 VPS 设置有问题。提供商为您提供虚拟服务器所使用的技术可能无法正确模拟或虚拟化 RTC。我在使用 QEMU 时遇到了这个问题;有时虚拟化的 RTC 和主机的真实 RTC 会不同步。
答案2
看起来你正在看到这个错误。您运行的 CentOS 到底是哪个版本,并且是否安装了所有最新补丁?