CentOS 7을 운영 체제로 사용하는 가상 머신이 있고 서버에 데이터베이스가 설치되어 있습니다. dbuser데이터베이스 관리자와 같은 사용자 가 있습니다 . SSH를 통해 서버에 로그인하고 데이터베이스와 모든 테이블 및 개체에 대한 전체 액세스 권한을 가질 수 있습니다. 개발자이고 데이터베이스에 대한 액세스가 제한된 다른 사용자가 있습니다. 이러한 사용자 정의는 다음과 같습니다 nologin.
useradd -c 'Developer - Robert Benton' -M -s /sbin/nologin devbenton
데이터베이스에 연결하는 애플리케이션을 사용합니다. 이러한 애플리케이션의 연결은 다음과 같이 정의됩니다.
Database Name: TestDB
IP: 192.123.1.1
Port: 6500
Username: devbenton
Password: ********
최근 우리는 누군가가 여러 번의 추측과 로그인 시도를 통해 반복적으로 사용자 비밀번호를 발견했다는 사실을 발견했습니다. 옵션은 방화벽으로 IP를 차단하거나 Fail2ban유사한 방법을 사용하여 로그인 실패 후 사용자와 IP를 차단하는 것입니다.
사용자가 비슷한 일을 하고 있는지 어떻게 알 수 있나요? 또는 다른 로그 파일 에서 /var/log/secure해당 애플리케이션을 사용하는 사용자의 로그인 실패가 표시되지 않습니다. 내 시스템을 모니터링하고 싶은데 어떻게 해야 합니까?
답변1
/var/log/secure트랙만 실패함껍데기로그인. 셸 액세스가 비활성화된( 의 매개변수로 지정 ) 사용자와 애플리케이션에 로그인을 시도하는 -s /sbin/nologin사용자 를 모니터링하려면 애플리케이션의 로그 파일을 확인해야 합니다. useradd이것이 가능한지 여부, 수행 방법 및 확인할 파일은 응용 프로그램에 따라 다릅니다.
또한 "포트에서 로그인 실패"는 아무 의미도 없습니다. 즉, 서버의 특정 포트에서 서비스를 제공하는 응용 프로그램에서 네트워크 로그인이 실패한다는 것입니다.