Может ли кто-нибудь объяснить, что означают различные части следующего LogWatch:
--------------------- IMAP Begin ------------------------
[IMAPd] Logout stats:
====================
User | Logouts | Downloaded | Mbox Size
<email> <number> <number> <blank>
cpanel@localhost 287 0 <blank>
Здесь возможно 4-5 записей (это не очень загруженный сервер). А что значит "выход"? И почему cpanel может быть таким высоким по сравнению с этим?
Непревзойденные записи
Отключено, ip = [:: ffff: XX.XX.XXX.XXX], время = 0:10 Время (с)
Отключено, ip = [:: ffff: XX.XX.XXX.XXX], time = 0, starttls = 1: 8
Что это значит ? (IP-адрес удален)
Тогда у меня есть:
--------------------- pam_unix Begin ------------------------
sshd:
Authentication Failures:
unknown (pega-tynset.eidsiva.net): 875 Time(s)
root (training-plesk.cwie.net): 658 Time(s)
это кто-то пытается получить доступ к нашему серверу? Есть ли повод для беспокойства - более 1500 попыток вызывают беспокойство?
спасибо за дополнительную информацию, я ценю, что их много - есть ли какие-нибудь достойные ресурсы для понимания того, что это означает? "LogWatch" на самом деле не так часто встречается в Google
Спасибо еще раз
Я не могу сразу говорить о записях IMAP, но журналы sshd очень характерны для кого-то (ну, какой-то программы), пытающегося получить доступ путем подбора пароля грубой силой. На мой взгляд, вы должны что-то с этим сделать, иначе они в конечном итоге угадают чей-то неверный пароль, и даже до этого времени для каждой из этих попыток используются ресурсы сервера. Разные люди находят разные решения.
Я вышел и собрался узнать, что люди делают, и принял собственное решение, которое включало использование iptables для ограничения скорости sshd-соединений; вы можете прочитать об этом в моем техноте. Другие обратились за предложениями, о которых я писал, но решили не реализовывать, или за такими технологиями, как fail2ban.
У вас есть несколько вопросов в одном сообщении, возможно, вы получите лучший результат, разделив их.
Однако я постараюсь ответить на вопрос sshd и на непревзойденный.
Я получаю несколько тысяч неудачных попыток sshd в день, а иногда и больше. Я игнорирую их, потому что я использую безопасные пароли, не имею «гостевых» учетных записей со слабыми паролями и не позволяю пользователям выбирать слабые пароли.
Каждый день, если не каждый час, проводится множество проверок безопасности. Если вы беспокоитесь о них всех, вы сойдете с ума. Настоящий вопрос, который следует задать, - насколько защищена ваша система от этих проб. Если у вас были общие учетные записи пользователей без паролей, со слабыми паролями или с гостевыми логинами (без паролей или с общими), вам следует это исправить. Если нет, то игнорируйте их.
Несовпадающие записи взяты из что-то который принимает адреса IPv4 и отображает «сопоставленные адреса» IPv6 - мой imapd делает это. Может просто так. Можете ли вы посмотреть вручную и сопоставить PID?
Используйте скрипт python Blockhosts для блокировки (отбрасывание пакетов TCP) неавторизованных пользователей.