按照我个人的理解,/var/log/secure 这个文件是记录服务器登陆行为的。那个文件如果很大,说明有人在破解你的root密码(一般是SSH暴力破解),可以通过这个日志查到对方的IP,每次登陆,无论密码对错都会被详细记录下来,所以文件会很大,解决办法是在/etc/hosts.deny
文件中加入IP,服务器就会拒绝这个IP的SSH登陆,语法:
sshd:IP
如果对方频繁换IP,可以用一些工具,如DenyHosts,可以自动将频繁输错密码的IP加入hosts.deny文件。具体安装和设置方法网上有。
另外/var/log/secure 文件是可以清空的,用这个命令:
echo /dev/null > /var/log/secure
如果这个文件很大,可以先清空,等有了新数据再查看。
sshd:IP
如果对方频繁换IP,可以用一些工具,如DenyHosts,可以自动将频繁输错密码的IP加入hosts.deny文件。具体安装和设置方法网上有。
另外/var/log/secure 文件是可以清空的,用这个命令:
echo /dev/null > /var/log/secure
如果这个文件很大,可以先清空,等有了新数据再查看。
本文介绍如何通过/var/log/secure文件来监控服务器的SSH登录尝试,并提供了如何应对暴力破解攻击的方法,包括使用hosts.deny文件阻止恶意IP及利用DenyHosts工具自动化管理。

被折叠的 条评论
为什么被折叠?



