如果禁用了 SSH 根登录,为什么 auth.log 会跟踪所有失败的尝试,从而导致管理员需要浏览更多数据?我可以禁用此行为吗?我可以将这些失败的尝试重定向到另一个文件吗,因为这些尝试不再是真正的问题?我知道通过防火墙阻止 IP 会阻止它们出现,但作为长期解决方案,阻止 IP 是愚蠢的,因为它会阻止真正的请求,因为在许多情况下 IP 并不代表单个主机。
答案1
auth 是 sshd(openssh)的默认 SysLogFacility。
尽管被禁止,但作者还是选择记录尝试。这是正常的记录行为:如果某件事没有起作用,就记录下来。
由于 sshd 中没有针对失败的 root 登录的特定日志开关,因此您必须在 syslog 级别对其进行调整。
在 auth 设施中配置 syslog 以忽略来自 sshd 的失败 root 登录消息。
答案2
尝试以 root 身份登录您的服务器表明有人试图入侵。默认设置符合信息安全最佳实践,因此管理员可以知道何时有人尝试以 root 身份访问他们的服务器。
忽略失败的 root 登录与最佳实践背道而驰。如果您不想在安全日志中看到失败的 root 登录条目,请配置 syslog 以将其发送到其他地方。