CentOS 7 "xx.xx.xx.xx 포트 xxx의 User__이(가) 유효하지 않습니다." - 입력하려고 시도한 사용자 이름이 표시되지 않습니다.

CentOS 7 "xx.xx.xx.xx 포트 xxx의 User__이(가) 유효하지 않습니다." - 입력하려고 시도한 사용자 이름이 표시되지 않습니다.

내 /var/log/secure 로그 파일을 보면 SSH를 통해 CentOS 시스템에 로그인하려는 시도를 볼 수 있지만 사용자 이름은 비어 있습니다. 잘못된 사용자 이름을 입력하여 직접 다시 생성했지만 로그에는 여전히 공백으로 표시됩니다.

Feb 11 15:40:02 centos sshd[15369]: Invalid user  from xxx.181.90.221 port 51474
Feb 11 15:40:48 centos sshd[15394]: Invalid user  from xxx.181.90.221 port 51514
Feb 11 15:40:57 centos sshd[15396]: Invalid user  from xxx.181.90.221 port 51526
Feb 11 15:49:15 centos sshd[15462]: Invalid user  from xxx.181.90.221 port 51933
Feb 11 15:49:24 centos sshd[15464]: Invalid user  from xxx.181.90.221 port 51941
Feb 11 15:49:31 centos sshd[15466]: Invalid user  from xxx.181.90.221 port 51948
Feb 11 15:58:55 centos sshd[15622]: Invalid user  from xxx.181.90.221 port 52415
Feb 11 15:59:02 centos sshd[15624]: Invalid user  from xxx.181.90.221 port 52422
Feb 11 15:59:08 centos sshd[15626]: Invalid user  from xxx.181.90.221 port 52427
Feb 11 16:05:13 centos sshd[15684]: Invalid user  from xxx.181.90.221 port 52723
Feb 11 16:05:37 centos sshd[15688]: Invalid user  from xxx.181.90.221 port 52741
Feb 11 16:15:10 centos sshd[15776]: Invalid user  from xxx.181.90.221 port 53203
Feb 11 16:19:23 centos sshd[3862]: Invalid user  from xxx.181.90.221 port 53410

시도할 사용자 이름을 어떻게 제공할 수 있는지 아시나요? Fail2Ban을 설정한 이후부터 이런 일이 발생하기 시작한 것 같습니다.

감사해요!

편집: 내부 IP 주소에서 시도된 사용자 이름만 기록하는 것 같습니다. 외부 IP 주소에 대한 사용자 이름은 기록되지 않습니다. 연결이 시도되는 외부 주소는 다음과 같습니다.

Feb 11 16:19:23 centos sshd[3862]: Invalid user  from xxx.181.90.221 port 53410

내부 IP에서 가져온 내용입니다.

Feb 11 19:12:33 centos sshd[4193]: Invalid user badusername from 192.168.1.10 port 1718

답변1

fail2ban그 자체로는 로깅 프로세스가 변경되지 않습니다. 생성된 로그를 읽기만 합니다. 그러나 빈 사용자 이름을 지정하여 문제를 재현할 수 있습니다.

ssh -l '' remote_host

/var/log/auth.log내 Debian 서버의 해당 로그 항목은 다음과 같습니다.

Feb 12 16:35:43 remote_host sshd[6738]: Invalid user  from 192.168.xx.yy port 26677
Feb 12 16:35:43 remote_host sshd[6738]: input_userauth_request: invalid user  [preauth]

userfrom자세히 살펴보면 자신의 로그에 표시된 것처럼 첫 번째 줄과 첫 번째 줄 사이에 이중 공백이 있는 것을 볼 수 있습니다 .

관련 정보