Я настраиваю небольшой VPS (последний Centos), и у меня возникла проблема с моими журналами SSHD. Я хочу установить fail2ban, и все вроде работает нормально, но я заметил много попыток грубой силы в безопасном журнале, и, похоже, ничего не было заключено в тюрьму. Продолжая расследование, я заметил, что многие из этих попыток будут регистрироваться в будущем. Думаю, это может быть проблемой для fail2ban.
Есть ли у кого-нибудь идея, почему мой SSHD будет регистрировать события в будущем? Спасибо.
Вот пример того, что я сказал:
[root@myhost log]# date
Mon Nov 1 11:44:57 EDT 2010
--- содержимое / var / log / secure
Nov 1 09:01:21 myhost sshd[5381]: pam_unix(sshd:auth): check pass; user unknown
Nov 1 09:01:21 myhost sshd[5381]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=221.XX.XX.XX
Nov 1 09:01:23 myhost sshd[5381]: Failed password for invalid user smecher from 221.XX.XX.XX port 22502 ssh2
Nov 1 13:01:23 myhost sshd[5384]: Received disconnect from 221.XX.XX.XX: 11: Bye Bye
Nov 1 13:01:33 myhost sshd[5409]: Connection closed by 221.XX.XX.XX
Nov 1 09:03:01 myhost crond[7335]: pam_loginuid(crond:session): set_loginuid failed opening loginuid
Nov 1 09:18:01 myhost crond[30300]: pam_loginuid(crond:session): set_loginuid failed opening loginuid
Как видите, попытки, исходящие от 221.XX.XX.XX, в будущем. Мне действительно интересно, почему.
Похоже, вы видите эта ошибка. Какая именно версия CentOS у вас установлена и есть ли у вас все последние исправления?
Возможно, процесс sshd наследует переменную среды TZ откуда-то, из-за чего он неверно сообщает время.
Также возможно, что что-то не так с настройкой VPS вашего провайдера. Технология, которую ваш провайдер может использовать для предоставления вам виртуального сервера, может неправильно эмулировать или виртуализировать RTC. Я столкнулся с этой проблемой, используя QEMU; иногда виртуализированный RTC и реальный RTC хостов не синхронизировались.