%20%EC%9C%A0%ED%9A%A8%ED%95%98%EC%A7%80%20%EC%95%8A%EC%8A%B5%EB%8B%88%EB%8B%A4.%22%20-%20%EC%9E%85%EB%A0%A5%ED%95%98%EB%A0%A4%EA%B3%A0%20%EC%8B%9C%EB%8F%84%ED%95%9C%20%EC%82%AC%EC%9A%A9%EC%9E%90%20%EC%9D%B4%EB%A6%84%EC%9D%B4%20%ED%91%9C%EC%8B%9C%EB%90%98%EC%A7%80%20%EC%95%8A%EC%8A%B5%EB%8B%88%EB%8B%A4..png)
내 /var/log/secure 로그 파일을 보면 SSH를 통해 CentOS 시스템에 로그인하려는 시도를 볼 수 있지만 사용자 이름은 비어 있습니다. 잘못된 사용자 이름을 입력하여 직접 다시 생성했지만 로그에는 여전히 공백으로 표시됩니다.
Feb 11 15:40:02 centos sshd[15369]: Invalid user from xxx.181.90.221 port 51474
Feb 11 15:40:48 centos sshd[15394]: Invalid user from xxx.181.90.221 port 51514
Feb 11 15:40:57 centos sshd[15396]: Invalid user from xxx.181.90.221 port 51526
Feb 11 15:49:15 centos sshd[15462]: Invalid user from xxx.181.90.221 port 51933
Feb 11 15:49:24 centos sshd[15464]: Invalid user from xxx.181.90.221 port 51941
Feb 11 15:49:31 centos sshd[15466]: Invalid user from xxx.181.90.221 port 51948
Feb 11 15:58:55 centos sshd[15622]: Invalid user from xxx.181.90.221 port 52415
Feb 11 15:59:02 centos sshd[15624]: Invalid user from xxx.181.90.221 port 52422
Feb 11 15:59:08 centos sshd[15626]: Invalid user from xxx.181.90.221 port 52427
Feb 11 16:05:13 centos sshd[15684]: Invalid user from xxx.181.90.221 port 52723
Feb 11 16:05:37 centos sshd[15688]: Invalid user from xxx.181.90.221 port 52741
Feb 11 16:15:10 centos sshd[15776]: Invalid user from xxx.181.90.221 port 53203
Feb 11 16:19:23 centos sshd[3862]: Invalid user from xxx.181.90.221 port 53410
시도할 사용자 이름을 어떻게 제공할 수 있는지 아시나요? Fail2Ban을 설정한 이후부터 이런 일이 발생하기 시작한 것 같습니다.
감사해요!
편집: 내부 IP 주소에서 시도된 사용자 이름만 기록하는 것 같습니다. 외부 IP 주소에 대한 사용자 이름은 기록되지 않습니다. 연결이 시도되는 외부 주소는 다음과 같습니다.
Feb 11 16:19:23 centos sshd[3862]: Invalid user from xxx.181.90.221 port 53410
내부 IP에서 가져온 내용입니다.
Feb 11 19:12:33 centos sshd[4193]: Invalid user badusername from 192.168.1.10 port 1718
답변1
fail2ban그 자체로는 로깅 프로세스가 변경되지 않습니다. 생성된 로그를 읽기만 합니다. 그러나 빈 사용자 이름을 지정하여 문제를 재현할 수 있습니다.
ssh -l '' remote_host
/var/log/auth.log내 Debian 서버의 해당 로그 항목은 다음과 같습니다.
Feb 12 16:35:43 remote_host sshd[6738]: Invalid user from 192.168.xx.yy port 26677
Feb 12 16:35:43 remote_host sshd[6738]: input_userauth_request: invalid user [preauth]
userfrom자세히 살펴보면 자신의 로그에 표시된 것처럼 첫 번째 줄과 첫 번째 줄 사이에 이중 공백이 있는 것을 볼 수 있습니다 .