有人能解释一下以下 LogWatch 的各个部分是什么意思吗:
--------------------- IMAP Begin ------------------------
[IMAPd] Logout stats:
====================
User | Logouts | Downloaded | Mbox Size
<email> <number> <number> <blank>
cpanel@localhost 287 0 <blank>
这里可能有 4-5 个条目(这不是一个非常繁忙的服务器)。“注销”是什么意思?相比之下,cpanel 为什么排名这么高?
不匹配的条目
已断开连接,ip=[::ffff:XX.XX.XXX.XXX],时间=0:10次
已断开连接,ip=[::ffff:XX.XX.XXX.XXX],时间=0,starttls=1: 8
这是什么意思?(IP 地址已删除)
然后我有:
--------------------- pam_unix Begin ------------------------
sshd:
Authentication Failures:
unknown (pega-tynset.eidsiva.net): 875 Time(s)
root (training-plesk.cwie.net): 658 Time(s)
有人试图访问我们的服务器吗?这值得担心吗?超过 1500 次尝试似乎令人担忧?
感谢您提供更多信息,我很感激有很多信息 - 有没有什么可靠的资源可以帮助我理解这是什么意思?“LogWatch”在谷歌上出现得并不多
再次感谢
答案1
您在同一消息中提出了多个问题,将它们分开可能会获得更好的结果。
不过,我会尝试回答 sshd 问题和不匹配的问题。
我每天会遇到几千次失败的 sshd 尝试,有时甚至更多。我忽略了这些尝试,因为我使用了安全密码,没有设置弱密码的“访客”帐户,也不允许用户选择弱密码。
每天,甚至每小时,都会有许多安全探测。如果你担心所有这些,你会发疯的。真正的问题是你的系统对这些探测有多安全。如果你遇到过没有密码、密码弱或访客登录(没有密码或使用常用密码)的常见用户帐户,那么你应该修复它们。如果没有,那就忽略它们。
不匹配的条目来自某物即接受 IPv4 地址并显示 IPv6“映射地址”——我的 imapd 就是这样做的。可能就是这样。你能手动查看并匹配 PID 吗?
答案2
答案3
使用 Blockhosts phyton 脚本来阻止(删除 TCP 包)未经授权的用户。