Debian コンピュータのログファイルに関する質問があります。私は少ない容量のPHPサーバーを実行しているので、ほとんどのログファイルは小さいです。ただし、auth
(fail2ban
およびdaemon
)は巨大な、ログ回転がある場合も同様です。
2000K auth.log
600K fail2ban.log
200K daemon.log
5K dpkg.log
5K mail.log
5K alternatives.log
1K user.log
1K kern.log
1K php7.0-fpm.log
fail2ban
自動化された攻撃と推定されるものを含むINFO/NOTICE [sshd] Found (IP)
さまざまな行のみが含まれています。auth
user unknown
Failed password
(サーバーのSSHにはパスワードログインがオフになっており、RSAキーを介してのみアクセスできます。)
手動で読み取ることができず、auth.log
失敗したログイン試行は常に発生するため、貴重な情報のようには見えません。した失敗)、それでは、これら2つのファイルをどのようにリンクしますか?
より少ない情報を含むように設定できますか?すべての失敗を集計する方法はありますか?より深刻な、または実際の侵入を識別することができるものが含まれていますか?
それとも、ログファイルを無視し、一般的なシステム強化に焦点を当て、今日のログファイルにノイズが多いという事実を受け入れるべきですか?
答え1
SSHサーバーが実行されているポートを22から22222などの他の(親)ポートに変更する必要があります。
自動化された攻撃者はデフォルトポートを使用するため、接続できないため記録されません。
この対策は、人間の攻撃者(サーバーのポートスキャンでSSHポートが中断される)に対しては役に立ちませんが、ボットに対しては非常に効果的です。これを追加のセキュリティ層と考えてください。