1 votes

thanks_in_advance avatar

les fichiers où les tentatives d'intrusion sont enregistrées

Demandé el 19 de Août, 2015
Quand la question a-t-elle été
746 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Serveur Ubuntu avec Apache, hébergeant plusieurs sites web et serveurs de messagerie.

Outre /var/log/auth.log existe-t-il d'autres endroits où les tentatives d'effraction sont enregistrées ?

Le contexte : J'avais l'habitude d'avoir beaucoup de tentatives d'effraction. Puis j'ai désactivé la connexion par mot de passe pour root. Maintenant, je ne me connecte à root que via des clés SSH. De plus, il n'y a pas de comptes utilisateurs non root.

Je ne vois pas de tentatives d'effraction dans /var/log/auth.log plus. Cela me paraît étrange car je suis conscient que des personnes essaient encore de s'introduire dans mon serveur.

Donc ma question est, sous mon nouveau mécanisme d'authentification :

  1. Est-ce parce que les "briseurs de grève" ne parviennent pas à atteindre le point de mon serveur où leurs tentatives seraient enregistrées ?

  2. ou est-ce que je regarde dans le mauvais fichier journal ( /var/log/auth.log ) ?

Si (2), alors où dois-je vérifier les tentatives d'effraction ?

Demandé el 19 de Août, 2015 par thanks_in_advance

Réponse

Trop de publicités?

2voto

Steven K avatar
Steven K Points 4326

Les échecs d'authentification SSH sont enregistrés par défaut dans le fichier /var/log/auth.log.

Vous devriez toujours voir des échecs d'authentification enregistrés après les changements que vous décrivez - quelque chose d'autre a dû changer. J'ai désactivé la connexion root entièrement, et l'authentification basée sur la clé uniquement avec les mots de passe désactivés pour les comptes utilisateurs. Je vois toujours quelques échecs par heure dans auth.log avant qu'ils ne soient bloqués par fail2ban.

Les services bien conçus consigneront les échecs d'authentification dans le syslog. auth et serait enregistré ici aussi. Il est bon d'exporter vos journaux vers un serveur syslog distant afin qu'il soit difficile pour un attaquant de dissimuler son intrusion s'il obtient l'accès à la racine.

Dans un sens plus général, "tentatives d'intrusion" est un terme trop vague pour cette question. Il pourrait signifier n'importe quoi, de l'injection SQL aux dépassements de tampon. Les tentatives d'intrusion peuvent être subtiles et difficiles, voire impossibles, à distinguer du trafic légitime. Vous ne pouvez pas détecter toutes les attaques.

Répondu el 19 de Août, 2015 par Steven K (4326 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X