Назад | Перейти на главную страницу

Отключить журналы ssh «Неудачный пароль»

Боты без устали пытаются войти на мой сервер по ssh. Меня это не беспокоит, потому что у меня хорошие пароли, но мне не нравится, что ssh-спам заполняет журналы journald. Я бы хотел отфильтровать этот шум. Обратите внимание, что я не хочу налагать никаких дополнительных ограничений, таких как изменение порта ssh, ограничение входных IP-адресов и т. Д.

Моя ОС - CentOS 8 с последними обновлениями.

Вот типовые логи (от journalctl -f):

Apr 13 17:03:29 msk.vbezhenar.com sshd[14305]: Invalid user jhall from 51.132.145.250 port 46022
Apr 13 17:03:29 msk.vbezhenar.com sshd[14305]: pam_unix(sshd:auth): check pass; user unknown
Apr 13 17:03:29 msk.vbezhenar.com sshd[14305]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=51.132.145.250
Apr 13 17:03:32 msk.vbezhenar.com sshd[14305]: Failed password for invalid user jhall from 51.132.145.250 port 46022 ssh2
Apr 13 17:03:33 msk.vbezhenar.com sshd[14305]: Received disconnect from 51.132.145.250 port 46022:11: Bye Bye [preauth]
Apr 13 17:03:33 msk.vbezhenar.com sshd[14305]: Disconnected from invalid user jhall 51.132.145.250 port 46022 [preauth]
Apr 13 17:03:46 msk.vbezhenar.com unix_chkpwd[14310]: password check failed for user (root)
Apr 13 17:03:46 msk.vbezhenar.com sshd[14308]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=51.68.44.74  user=root
Apr 13 17:03:48 msk.vbezhenar.com sshd[14308]: Failed password for root from 51.68.44.74 port 44088 ssh2
Apr 13 17:03:48 msk.vbezhenar.com sshd[14308]: Received disconnect from 51.68.44.74 port 44088:11: Bye Bye [preauth]
Apr 13 17:03:48 msk.vbezhenar.com sshd[14308]: Disconnected from authenticating user root 51.68.44.74 port 44088 [preauth]

так что на каждую попытку приходится 5-6 строк журнала.

Мне удалось удалить несколько строк, используя LogLevel ERROR в /etc/ssh/sshd_config но мне это решение не совсем нравится, потому что я бы хотел видеть информационные сообщения от ssh, а не сообщения о неудачных попытках входа в систему. И он по-прежнему не удалил все строки, логи после этого изменения:

Apr 13 18:07:46 msk.vbezhenar.com unix_chkpwd[15522]: password check failed for user (root)
Apr 13 18:07:46 msk.vbezhenar.com sshd[15520]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=201.48.4.15  user=root
Apr 13 18:07:55 msk.vbezhenar.com sshd[15523]: pam_unix(sshd:auth): check pass; user unknown
Apr 13 18:07:55 msk.vbezhenar.com sshd[15523]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=176.107.131.9

так что на журнал по-прежнему остается 2 строки.

Поэтому в идеале мой вопрос заключается в том, как удалить ТОЛЬКО те строки об ошибке аутентификации, а другие журналы должны оставаться нетронутыми. Если это невозможно, я хотел бы знать, как удалить эти 2 строки из pam_unix, которые не были удалены путем установки LogLevel ERROR.