Debian:SSHのログイン失敗のログイン試行?
Ssh @ rootへのログインに間違ったパスワードを入力しました。
私は行きました
/var/log/faillog
しかし、ファイルは空です(ファイルサイズは32バイトです)
Auth.logのOKはこれに送られます:
reverse mapping checking getaddrinfo for dinamic-tigo186-180-143-166.tigo.com.co [186.180.143.166] failed - POSSIBLE BREAK-IN ATTEMPT!
Feb 21 03:44:22 ns3xxxx9 sshd[7497]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=186.180.143.166 user=root
あれは何でしょう?
(デフォルトでは)/var/log/auth.logでこれらの失敗を確認できます
1行目は、IPアドレスから接続試行を受信したことを意味します。 sshサーバーがアドレスを逆解決しようとし、ホスト名(dinamic-tigo186-180-143-166.tigo.com.co)ですが、そのホスト名を転送解決して元のIPアドレスに戻そうとすると、失敗しました。これは致命的ではありません。通常、誰かがDNSを台無しにしたことを意味しますが、sshは、そのログエントリが基本的な信頼できるテストに失敗したことを通知します。
2行目は、同じIPアドレスからの誰かがrootとしてsshを試みて失敗したことを意味します。
2番目の種類のエントリが多すぎて、人々にとって困難なものにしたい場合、私は書きました 自動化されたsshパスワード推測を処理するためのテクニックに関する記事 興味があるかもしれませんが、興味はありませんfail2banと同様のテクノロジーをカバーします(私はそれらが好きではないため)。