[问题]sshd的日志问题

Web、Mail、Ftp、DNS、Proxy、VPN、Samba、LDAP 等基础网络服务
回复
zigzed
帖子: 267
注册时间: 2006-02-27 10:32

[问题]sshd的日志问题

#1

帖子 zigzed » 2007-09-04 15:45

我在公网上有一个机器,只允许ssh密钥访问。我发现有很多来自世界各地的暴力破解ssh口令的尝试。虽然我相信破解密钥的可能性非常低,但是对于系统性能还是会有影响。

于是我找到一个脚本fail2ban,该脚本分析sshd的日志,将错误登录尝试的IP地址屏蔽(通过iptables)。

该脚本工作以来,错误登录尝试少了很多。但是最近我又发现一个问题:因为我不允许root远程登录(即使通过ssh),所以在ssh的日志中错误的记录是:

代码: 全选

User root not allowed because none of user's groups are listed in AllowGroups
非常遗憾,在错误日志中没有远端的IP地址,所以无法对其屏蔽。

不知道如何设置sshd,让其在日志中有远端的IP地址。请不要建议打开root帐号的ssh登录,无论如何我都不会冒此风险的。
zigzed
帖子: 267
注册时间: 2006-02-27 10:32

#2

帖子 zigzed » 2007-09-06 10:34

自己回答,升级到openssh 4.x,日志中有地址的记录。
头像
bones7456
帖子: 8495
注册时间: 2006-04-12 20:05
来自: 杭州
联系:

#3

帖子 bones7456 » 2007-09-06 10:40

哦~
LZ应该介绍一下这个的具体做法哦:
于是我找到一个脚本fail2ban,该脚本分析sshd的日志,将错误登录尝试的IP地址屏蔽(通过iptables)。
关注我的blog: ε==3
回复