带有 Apache 的 Ubuntu 服务器,托管多个网站和邮件服务器。
此外/var/log/auth.log,还有其他地方记录入侵尝试吗?
背景:我曾经遇到过很多入侵尝试。后来我禁用了 root 密码登录。现在,我只能通过 SSH 密钥以 root 身份登录。此外,没有非 root 用户帐户。
我再也没有看到任何入侵企图/var/log/auth.log。这对我来说很奇怪,因为我知道仍有人试图入侵我的服务器。
所以我的问题是,在我的新身份验证机制下:
是不是那些“潜在的破坏者”无法到达我的服务器中记录他们的尝试的点?
或者是我查看了错误的日志文件(
/var/log/auth.log)?
如果是 (2),那么我应该在哪里检查入侵企图?
答案1
SSH 身份验证失败默认记录到 /var/log/auth.log。
在您描述的更改之后,您仍应该看到那里记录了身份验证失败 - 肯定是其他东西发生了变化。我已完全禁用 root 登录,并且仅对用户帐户禁用基于密钥的身份验证和密码。在使用 fail2ban 阻止它们之前,我仍然会在 auth.log 中每小时看到几次失败。
设计良好的服务会使用 syslogauth工具记录身份验证失败,并且也会记录在此处。将日志导出到远程 syslog 服务器是一种很好的做法,这样攻击者在获得 root 权限后就很难隐藏入侵行为。
从更一般的意义上讲,“入侵企图”这个术语对于这个问题来说太模糊了。它可能意味着从 SQL 注入到缓冲区溢出等任何事情。入侵企图可能很微妙,很难甚至不可能与合法流量区分开来。你无法检测到每一次攻击。