web-dev-qa-db-ja.com

侵入の試みが記録されているファイル

複数のウェブサイトとメールサーバーをホストするApacheを搭載したUbuntuサーバー。

/var/log/auth.logの他に、侵入の試みが記録される場所は他にありますか?

コンテキスト:私は以前、多くの侵入を試みていました。次に、rootのパスワードログインを無効にしました。現在、SSHキーを介してのみrootにログインしています。さらに、root以外のユーザーアカウントはありません。

/var/log/auth.logでの侵入の試みはもう見られません。人々がまだ私のサーバーに侵入しようとしていることを知っているので、これは私には奇妙です。

だから私の質問は、私の新しい認証メカニズムの下で:

  1. 「ブレーカーになるだろう」が、サーバー内で試行がログに記録されるポイントに到達できないということですか?

  2. それとも、間違ったログファイル(/var/log/auth.log)を探しているのですか?

(2)の場合、侵入の試みをどこでチェックする必要がありますか?

1

SSH認証の失敗は、デフォルトで/var/log/auth.logに記録されます。

説明した変更後も、認証の失敗がログに記録されているはずです。何か他のものが変更されている必要があります。私はrootログインを完全に無効にしており、ユーザーアカウントではパスワードのみを無効にしたキーベースの認証を使用しています。 fail2banでブロックされる前に、auth.logに1時間あたり数回の障害が表示されます。

適切に設計されたサービスは、syslog auth機能を使用して認証の失敗をログに記録し、ここにもログに記録されます。ログをリモートsyslogサーバーにエクスポートして、攻撃者がルートを取得した場合に侵入を隠すことが困難になるようにすることをお勧めします。

より一般的な意味では、「侵入の試み」はこの質問に対してあいまいな用語です。これは、SQLインジェクションからバッファオーバーフローまで、あらゆることを意味する可能性があります。侵入の試みは、正当なトラフィックと区別するのが微妙で困難または不可能な場合があります。すべての攻撃を検出できるわけではありません。

2
Steven K