保护linux系统的安全,首先考虑的就是ssh登陆的安全linux
日志来源以下:ubuntu
/var/log/secure(centos)centos
/var/log/auth.log(ubuntu)安全
其实日志名是能够配置的,不过通常没人改,配置方法以下:ssh
/etc/ssh/sshd_confui
SyslogFacility AUTHPRIV日志
/etc/syslog.confci
authpriv.* /var/log/secureit
重点关注的日志内容以下,这里记载了客户端链接的信息:io
authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.1.100 user=root
Accepted password for root from 192.168.1.100 port 26333 ssh2
Accepted publickey for root from 192.168.1.100 port 27743 ssh2
经过特定的策略分析日志,就能够发现暴力破解和异地登陆的状况
对于暴力破解,能够把攻击者的IP写在以下文件:
/etc/hosts.deny
格式为:
sshd: 192.168.1.100