保护linux系统的安全,首先考虑的就是ssh登录的安全
日志来源如下:
/var/log/secure(centos)
/var/log/auth.log(ubuntu)
其实日志名是可以配置的,不过一般没人改,配置方法如下:
/etc/ssh/sshd_conf
SyslogFacility AUTHPRIV
/etc/syslog.conf
authpriv.* /var/log/secure
重点关注的日志内容如下,这里记载了客户端连接的信息:
authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.1.100 user=root
Accepted password for root from 192.168.1.100 port 26333 ssh2
Accepted publickey for root from 192.168.1.100 port 27743 ssh2
通过特定的策略分析日志,就可以发现暴力破解和异地登录的情况
对于暴力破解,可以把攻击者的IP写在如下文件:
/etc/hosts.deny
格式为:
sshd: 192.168.1.100