Назад | Перейти на главную страницу

Debian: ведение журнала неудачных попыток входа по SSH?

Я просто ввел неверный пароль для входа в ssh @ root.

я пошел в

/var/log/faillog

Но файл пуст (размер файла составляет 32 байта)

Хорошо, в auth.log заспамлено это:

reverse mapping checking getaddrinfo for dinamic-tigo186-180-143-166.tigo.com.co [186.180.143.166] failed - POSSIBLE BREAK-IN ATTEMPT!
Feb 21 03:44:22 ns3xxxx9 sshd[7497]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=186.180.143.166  user=root

Что это такое?

Вы можете (по умолчанию) проверить эти ошибки в /var/log/auth.log

Первая строка означает, что была получена попытка подключения с IP-адреса. Сервер ssh попытался выполнить обратное разрешение адреса и получил имя хоста (dinamic-tigo186-180-143-166.tigo.com.co), но когда он попытался переадресовать это имя хоста, чтобы вернуться к исходному IP-адресу, это не удалось. Это не фатально, обычно это означает, что кто-то другой испортил свой DNS, но ssh дает вам знать, что эта запись в журнале не прошла базовый тест, на который можно положиться.

Вторая строка означает, что кто-то с того же IP-адреса попытался войти по ssh как root и потерпел неудачу.

Если вы получаете слишком много людей второго типа и хотите усложнить жизнь людям, я написал статья о методах работы с автоматическим подбора паролей ssh это может вас заинтересовать, хотя оно не касается fail2ban и подобных технологий (потому что они мне не нравятся).