最近登录服务器,看到这样一条消息:
Last login: Mon Jul 17 01:14:15 2017 from dns2.redstation.co.uk
最后一个命令还多次列出相同的地址。
据我所知它应该记录ip地址,但我对Linux还不够了解。这是我应该担心的事情吗?将来如何限制该地址的访问?
我通过简单地 ping 它来获取它的 IP 地址,并使用以下命令将该 IP 添加到防火墙拒绝列表中:
firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='80.84.49.136' reject"
我不确定这是否有效。
CentOs7已安装,带firewalld。
答案1
如果您有 RedStation 的专用服务器,并且您不希望从他们的系统登录,则值得向他们的支持团队发送请求,要求解释登录情况。 (首先确保您没有启用ssh
服务监控并忘记了它。否则您会看起来很傻。)
显示该Last login
行的进程尝试反向查找记录的 IP 地址 80.84.49.136,以便从 DNS 为您提供一个“友好”名称。就我个人而言,我想说大多数时候“dns2.redstation.co.uk”比“80.84.49.136”更容易理解。 YMMV。
该last
命令记录所有登录(以及大多数注销),并且有多种选项可以按名称和/或 IP 地址显示远程主机。如果您的用户名是,ali
您可以尝试last ali
查看有关正在发生的情况的更多详细信息。用于man last
查找命令的各种选项。
一旦确定了意外登录的原因,您就可以决定适当的操作方案。如果您的密码已被泄露,那么仅仅阻止有问题的源 IP 地址就没有意义。