linux中的/var/log/auth.log

这个是管理鉴权的日志,可以看到网络上相应的登陆attempt。

感觉是不看不知道,一看吓一跳。有各种各样登陆的attempt:用户名为root的,mysql的,hadoop,ubuntu, oracle, tom。。。。。。

下面就把log里面最常见的两种说一下。

0. 时间 机器名 sshd[sshd_id]: input_userauth_request: invalid user XXX [preauth]

这是最常见的log。

其实就是IP在公网上被弱口令攻击。换句话说,就是有黑客写了脚本,for循环该网域上的主机,并且用弱用户名+弱口令暴力尝试。

防范方法:

  1. 禁止root用户直接远程登陆
  2. 禁用密码登陆,启用公私钥登陆。
  3. 设置fail2ban,以缓和攻击频率(但是也没有什么卵用,一般都是几十上百个机器攻击)configuration guide

1. “POSSIBLE BREAK-IN ATTEMPT” error message

次常见的log。

Stack Exchange解释:一个普遍现象

那没什么有”reverse mapping checking getaddrinfo failed”这句话呢?而且并不是全部的sshd的log都有这句话

首先,我们注意到log中,与POSSIBLE BREAK-IN ATTEMPT成对出现的log:reverse mapping checking getaddrinfo for sender3p4.nosoffresdumois.fr IP地址 failed

也就是说,我们的主机想要进行reverse mapping checking,但是通过PTR record(pointer record)没有找到该地址,所以linux主机认为受到了BREAK-IN ATTEMPT。

那么,再究其原因,是因为:

  1. 攻击者没有update其静态IP的PTR record。
  2. ISP没有为它的动态用户配置好 reverse records。 an ISP does not setup proper reverse records for its dynamic IP customers. This is very common, even for large ISPs.

发表评论

电子邮件地址不会被公开。 必填项已用*标注