我正在build立一个小的VPS(最后一个Centos),而且我的SSHD日志面临一个问题。 我想安装fail2ban,一切似乎运行良好,但我注意到在安全日志中bruteforce的很多尝试,并没有什么似乎被监禁。 通过进一步调查,我注意到很多这些尝试都是在将来logging下来的。 我想这可能是fail2ban的问题。
有没有人有一个想法,为什么我的SSHD将来会logging事件? 谢谢。
以下是我所说的一个例子:
[root@myhost log]# date Mon Nov 1 11:44:57 EDT 2010 — / var / log / secure的内容
Nov 1 09:01:21 myhost sshd[5381]: pam_unix(sshd:auth): check pass; user unknown Nov 1 09:01:21 myhost sshd[5381]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=221.XX.XX.XX Nov 1 09:01:23 myhost sshd[5381]: Failed password for invalid user smecher from 221.XX.XX.XX port 22502 ssh2 Nov 1 13:01:23 myhost sshd[5384]: Received disconnect from 221.XX.XX.XX: 11: Bye Bye Nov 1 13:01:33 myhost sshd[5409]: Connection closed by 221.XX.XX.XX Nov 1 09:03:01 myhost crond[7335]: pam_loginuid(crond:session): set_loginuid failed opening loginuid Nov 1 09:18:01 myhost crond[30300]: pam_loginuid(crond:session): set_loginuid failed opening loginuid
正如你所看到的,来自221.XX.XX.XX的尝试是未来的。 我真的很奇怪为什么。
也许sshd进程从某个地方inheritance了一个TZ环境variables,导致它错误报告时间。
您的提供商的VPS设置中也有可能是错误的。 您的提供商可能用来为您提供虚拟服务器的技术可能无法正确模拟或虚拟化RTC。 我用QEMU来解决这个问题; 有时虚拟化的RTC和主机的真实RTC会不同步。
看起来你正在看到这个错误 。 你正在运行什么版本的CentOS,你有所有的最新的补丁?