儘管禁用了 SSH root 登錄，為什麼 auth.log 中會出現失敗的 SSH root 登錄嘗試？

如果禁用 SSH root 登錄，為什麼 auth.log 會跟踪所有失敗的嘗試，從而導致管理員需要處理更多數據？我可以禁用此行為嗎？我可以將那些失敗的嘗試重定向到另一個文件，因為這些嘗試不再是一個真正的問題嗎？我知道，通過防火牆阻止 IP 會阻止它們出現，但作為長期解決方案，阻止 IP 是愚蠢的，因為它會阻止真正的請求，因為在許多情況下 IP 並不代表單個主機。

auth 是 sshd (openssh) 的預設 SysLogFacility。

作者選擇記錄儘管被禁止的嘗試。這是正常的日誌記錄行為：如果某些東西不起作用，請記錄它。

由於 sshd 中沒有針對失敗的 root 登錄的特定日誌開關，因此您可以在 syslog 級別對其進行調整。

在 auth 工具中配置 syslog 以忽略來自 sshd 的失敗的 root 登錄消息。

嘗試在伺服器上以 root 身份登錄表明存在入侵嘗試。預設值是根據資訊安全最佳實踐設置的，以便管理員在有人嘗試以 root 身份訪問其伺服器時知道。

忽略失敗的根登錄與最佳實踐背道而馳。如果您不想在安全日誌中看到失敗的 root 登錄條目，請將 syslog 配置為將它們發送到其他地方。

引用自：https://serverfault.com/questions/798842