CentOS 7をオペレーティングシステムとして使用する仮想マシンがあり、サーバーにデータベースがインストールされています。dbuser
データベース管理者などのユーザーがいます。 SSHを介してサーバーにログインし、データベースとすべてのテーブルとオブジェクトへのフルアクセス権を持つことができます。開発者であり、データベースへのアクセスが制限されている他のユーザーがいます。これらのカスタマイズは次のとおりですnologin
。
useradd -c 'Developer - Robert Benton' -M -s /sbin/nologin devbenton
データベースに接続するアプリケーションを使用します。これらのアプリケーションの接続は次のように定義されます。
Database Name: TestDB
IP: 192.123.1.1
Port: 6500
Username: devbenton
Password: ********
最近、私たちは誰かが何度かの推測とログイン試行を通して繰り返しユーザーパスワードを見つけたことを発見しました。オプションは、ファイアウォールで IP をブロックするか、Fail2ban
類似の方法を使用してログイン失敗後にユーザーと IP をブロックすることです。
ユーザーが似たようなことをしているかどうかはどうすればわかりますか?または、他のログファイルで/var/log/secure
そのアプリケーションを使用しているユーザーのログイン失敗は表示されません。私のシステムを監視したいのですが、どうすればよいですか?
答え1
/var/log/secure
トラックだけが失敗しましたシェルログイン。シェルアクセスが無効になっている(のパラメータで指定された)ユーザーと、アプリケーションにログインしようとしているユーザーを監視する-s /sbin/nologin
には、アプリケーションのログファイルを確認する必要があります。useradd
これが可能かどうか、実行方法、確認するファイルはアプリケーションによって異なります。
また、「ポートでログインに失敗しました」という意味はありません。つまり、サーバーの特定のポートでサービスを提供するアプリケーションでネットワークログインが失敗するということです。