任何人都可以请解释下面的LogWatch的各个部分是什么意思:
--------------------- IMAP Begin ------------------------ [IMAPd] Logout stats: ==================== User | Logouts | Downloaded | Mbox Size <email> <number> <number> <blank> cpanel@localhost 287 0 <blank> 这里可能有4-5个条目(这不是一个非常繁忙的服务器)。 那么“注销”是什么意思? 为什么cpanel会比较高?
无与伦比的条目
断开连接,ip = [:: ffff:XX.XX.XXX.XXX],时间= 0:10时间(s)
- 只能在SSH中查看来自某个IP的access_log条目
- 如何configuration一个没有访问DNS的裸域?
- 禁用exim4日志logging
- configuration错误的DNS /名称服务器?
- configuration将postfix邮件日志发送到数据库
断开连接,ip = [:: ffff:XX.XX.XXX.XXX],时间= 0,starttls = 1:8
这是什么意思 ? (IP地址被删除)
我然后有:
--------------------- pam_unix Begin ------------------------ sshd: Authentication Failures: unknown (pega-tynset.eidsiva.net): 875 Time(s) root (training-plesk.cwie.net): 658 Time(s)
这是有人试图访问我们的服务器? 这是一件值得关注的事情 – 1500多次尝试似乎令人担忧?
感谢您的任何进一步的信息,我很欣赏有很多 – 是否有任何体面的资源来理解这是什么意思? “LogWatch”在谷歌上并没有太多的变化
再次感谢
在同一个消息中你有几个问题,你可能会得到更好的结果分裂。
但是,我会尽量回答sshd问题和无与伦比的问题。
我每天有数千次失败的sshd尝试,有时甚至更多。 我忽略他们,因为我使用安全的密码,没有“客人”帐户密码较弱,不允许用户select弱密码。
如果不是每一个小时,每天都有很多安全探测。 如果你担心他们,你会疯了。 真正要问的问题是你的系统对这些探测器有多安全。 如果你有没有密码的普通用户帐户,密码较弱,或者用户login(没有密码或普通用户帐户),那么你应该修复这个问题。 如果不是的话,那就不用理会了。
不匹配的条目来自接受IPv4地址并显示IPv6“映射地址”的内容 – 我的imapd执行此操作。 这可能就是这样。 你能手动查找并匹配PID吗?
我无法立即为IMAP条目说话,但sshd日志非常有人(有些程序)试图通过暴力猜测来获得访问权。 在我看来,你应该做一些这方面的工作,否则他们最终会猜测某人的密码不正确,甚至在这之前处理这些尝试都使用服务器资源。 不同的人find不同的解决方
我出去了解人们在做什么,并做出了我自己的决定,其中包括使用iptables来限制sshd连接的速度; 你可以在我的技术文档中阅读。 其他人已经提出了我写的build议,但决定不实施,或像fail2ban技术。
使用Blockhosts phyton skript来阻止(拖放TCP包)无理由的用户。