Если root-вход по SSH отключен, почему auth.log отслеживает все неудачные попытки и, таким образом, заставляет администратора проходить через него больше данных? Могу ли я отключить это поведение? Могу ли я перенаправить эти неудачные попытки в другой файл, так как попытки больше не беспокоят? Я знаю, что блокировка IP-адресов через брандмауэр предотвратит их появление, но блокирование IP-адресов глупо как долгосрочное решение, поскольку предотвращает подлинные запросы, поскольку во многих случаях IP-адрес не представляет собой один хост.
auth - это SysLogFacility по умолчанию для sshd (openssh).
Авторы предпочитают регистрировать попытки, хотя и запрещенные. Это нормальное поведение при ведении журнала: если что-то НЕ работает, зарегистрируйте это.
Поскольку в sshd нет специального переключателя журнала для неудачных входов в систему root, вы должны настроить его на уровне syslog.
Настройте системный журнал в средстве проверки подлинности, чтобы игнорировать сообщения об ошибках входа в систему root, поступающие от sshd.
Попытки войти в систему с правами root на вашем сервере указывают на попытку вторжения. Значения по умолчанию установлены в соответствии с передовой практикой информационной безопасности, чтобы администраторы знали, когда кто-то пытается получить доступ к их серверам как root.
Игнорирование неудачных попыток входа в систему с правами root противоречит передовой практике. Если вы не хотите видеть в журнале безопасности записи о неудачных попытках входа в систему root, настройте системный журнал для их отправки в другое место.