데비안 컴퓨터의 로그 파일에 관한 질문이 있습니다. 저는 용량이 적은 PHP 서버를 실행하고 있으므로 대부분의 로그 파일이 작습니다. 그러나 , auth( fail2ban및 daemon)은거대한, 로그 회전이 있는 경우에도 마찬가지입니다.
2000K auth.log
600K fail2ban.log
200K daemon.log
5K dpkg.log
5K mail.log
5K alternatives.log
1K user.log
1K kern.log
1K php7.0-fpm.log
fail2ban자동화된 공격으로 추정되는 INFO/NOTICE [sshd] Found (IP)와 가 포함된 다양한 라인 만 포함하고 있습니다 .authuser unknownFailed password
(서버의 SSH에는 비밀번호 로그인이 꺼져 있으며 RSA 키를 통해서만 액세스할 수 있습니다.)
수동으로 읽을 수 없으며 auth.log실패한 로그인 시도는 항상 발생하기 때문에 귀중한 정보처럼 보이지 않습니다.했다실패), 그렇다면 이 두 파일을 어떻게 연결합니까?
더 적은 정보를 포함하도록 구성할 수 있나요? 모든 실패를 집계하는 방법이 있나요? 더 심각하거나 실제 침입을 식별할 수 있는 내용이 포함되어 있습니까?
아니면 로그 파일을 무시하고 일반 시스템 강화에 중점을 두고 오늘날 로그 파일에 노이즈가 많다는 사실을 받아들여야 할까요?
답변1
SSH 서버가 실행 중인 포트를 22에서 22222와 같은 다른(상위) 포트로 변경해야 합니다.
자동화된 공격자는 기본 포트를 사용하므로 연결할 수 없으므로 기록되지 않습니다.
이 대책은 인간 공격자(서버의 포트 스캔으로 SSH 포트가 중단됨)에 대해서는 쓸모가 없지만 봇에 대해서는 매우 효과적입니다. 이를 추가 보안 계층으로 생각하십시오.