巨大なauth.logファイルとfailure2ban.logファイルとはどのように関連していますか?

巨大なauth.logファイルとfailure2ban.logファイルとはどのように関連していますか?

Debian コンピュータのログファイルに関する質問があります。私は少ない容量のPHPサーバーを実行しているので、ほとんどのログファイルは小さいです。ただし、authfail2banおよびdaemon)は巨大な、ログ回転がある場合も同様です。

2000K auth.log
 600K fail2ban.log
 200K daemon.log
   5K dpkg.log
   5K mail.log
   5K alternatives.log
   1K user.log
   1K kern.log
   1K php7.0-fpm.log

fail2ban自動化された攻撃と推定されるものを含むINFO/NOTICE [sshd] Found (IP)さまざまな行のみが含まれています。authuser unknownFailed password

(サーバーのSSHにはパスワードログインがオフになっており、RSAキーを介してのみアクセスできます。)

手動で読み取ることができず、auth.log失敗したログイン試行は常に発生するため、貴重な情報のようには見えません。した失敗)、それでは、これら2つのファイルをどのようにリンクしますか?

より少ない情報を含むように設定できますか?すべての失敗を集計する方法はありますか?より深刻な、または実際の侵入を識別することができるものが含まれていますか?

それとも、ログファイルを無視し、一般的なシステム強化に焦点を当て、今日のログファイルにノイズが多いという事実を受け入れるべきですか?

答え1

SSHサーバーが実行されているポートを22から22222などの他の(親)ポートに変更する必要があります。

自動化された攻撃者はデフォルトポートを使用するため、接続できないため記録されません。

この対策は、人間の攻撃者(サーバーのポートスキャンでSSHポートが中断される)に対しては役に立ちませんが、ボットに対しては非常に効果的です。これを追加のセキュリティ層と考えてください。

関連情報