Ssh

儘管禁用了 SSH root 登錄,為什麼 auth.log 中會出現失敗的 SSH root 登錄嘗試?

  • August 24, 2016

如果禁用 SSH root 登錄,為什麼 auth.log 會跟踪所有失敗的嘗試,從而導致管理員需要處理更多數據?我可以禁用此行為嗎?我可以將那些失敗的嘗試重定向到另一個文件,因為這些嘗試不再是一個真正的問題嗎?我知道,通過防火牆阻止 IP 會阻止它們出現,但作為長期解決方案,阻止 IP 是愚蠢的,因為它會阻止真正的請求,因為在許多情況下 IP 並不代表單個主機。

auth 是 sshd (openssh) 的預設 SysLogFacility。

作者選擇記錄儘管被禁止的嘗試。這是正常的日誌記錄行為:如果某些東西不起作用,請記錄它。

由於 sshd 中沒有針對失敗的 root 登錄的特定日誌開關,因此您可以在 syslog 級別對其進行調整。

在 auth 工具中配置 syslog 以忽略來自 sshd 的失敗的 root 登錄消息。

嘗試在伺服器上以 root 身份登錄表明存在入侵嘗試。預設值是根據資訊安全最佳實踐設置的,以便管理員在有人嘗試以 root 身份訪問其伺服器時知道。

忽略失敗的根登錄與最佳實踐背道而馳。如果您不想在安全日誌中看到失敗的 root 登錄條目,請將 syslog 配置為將它們發送到其他地方。

引用自:https://serverfault.com/questions/798842