在保护和监视Linux机器方面有了新的function,但是我们注意到我们的本地托pipe的LAMP服务器存在一些奇怪的行为,用于存储我们的灾难恢复。 基本上它已经报告自己定期脱机,然后回来。 Apache2日志显示了一些“优雅的closures”,而auth.log显示如下:
Aug 1 09:39:01 ****** CRON[10907]: pam_unix(cron:session): session opened for user root by (uid=0) Aug 1 09:39:01 ******** CRON[10907]: pam_unix(cron:session): session closed for user root Aug 1 09:48:24 ******* sshd[10917]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=helpdesk.**********.*** user=root Aug 1 09:48:26 ******** sshd[10917]: Failed password for root from 10.168.50.3 port 3831 ssh2 Aug 1 10:09:01 ********* CRON[10921]: pam_unix(cron:session): session opened for user root by (uid=0) Aug 1 10:09:01 ******** CRON[10921]: pam_unix(cron:session): session closed for user root Aug 1 10:17:01 ********* CRON[10931]: pam_unix(cron:session): session opened for user root by (uid=0) 我正确地假设从根条目失败的密码是一些系统试图通过SSH访问该框? 令人讨厌的是它是我们networking中的一个系统。 Aslo是否有任何理由定期closures“优雅”? 它会这样做清除caching等?
从评论中移动…
Apache重新启动
为了closures打开的日志文件,每日日志轮转脚本通常会重新启动Apache。 如果重新启动对应于cron中的条目(通常在/etc/crontab , /etc/crontab /etc/cron.d或/etc/cron.daily ),那么您可以确定发生了这种情况。 这可能是通过每日调用logrotate来控制的,它是通过/etc/logrotate.conf和/etc/logrotate.dconfiguration的。
请注意,这些path中的一部分可能是分布特定的。
SSH访问尝试
任何带有ssh端口的系统都可以看到很多失败的ssh尝试,因为遍地都有人在运行探测器来查找易受攻击的系统。
但是,您已经确定连接来自networking内部,因此首先要联系负责发起系统的人员,看看发生了什么事情。 它可能是一个像安全扫描器一样合法的东西,或者它可能是一个受损的系统。
我在这里冒着个人的观点,但是如果你允许你的系统进行密码validation,那么你在某个时刻就会陷入困境。 configurationssh最安全的方法是简单地在你的sshdconfiguration中禁用密码authentication,并完全依靠基于密钥的authentication来访问。 通过这样做,您可以消除暴力密码企图带来的风险,并且还可以缓解各种其他问题。 攻击者不能使用通过其他手段获取的密码来访问系统,通过安装特洛伊木马ssh服务器不能使用其他手段攻击成功。