我已经运行了Ubuntu服务器四个月,每天都会学到新的东西。 今天,我了解到有很多日志,我不知道存在。 当我检查这些日志时,我被吹走了。 例如,auth.log列出了我认为的黑客入侵,以及许多IP地址的sshlogin尝试失败。
我的问题是这个。 我正在运行Apache,我正在与SSH连接。 我应该最熟悉哪些日志,以便监视失败的login尝试,以及我能做些什么来使ssh更安全,还能够使用它来pipe理我的服务器?
此外,我注意到在两个不同的时间,当没有人应该连接到服务器(使用vnstat -l)疯狂的stream量,但还没有找出原因。 我在哪里可以开始跟踪这个。
我意识到这是很多问题包装成一个,我为此道歉。 到目前为止,我还是有点惊呆了。
我build议你看一下logcheck package – 它监视大多数(如果不是全部的话)相关的日志,并向你发送任何和所有可疑条目的小时总结。 注意它发送电子邮件,所以你必须build立一个服务器…
至于失败的SSHlogin,我build议你看看使用防火墙阻止未知主机的所有访问 – 尝试看Ubuntu的“简单防火墙”, ufw 。
最后,我build议你去看看官方的Ubuntu服务器指南 。
(对于好的措施,我通常在所有服务器上安装这些服务器; munin进行监控, backupninja (名称全称), etckeeper用于跟踪/etc以及如前所述的logcheck 。)
我倾向于使用logwatch,而不是logcheck(尽pipe这比味道更重要)。 为了保护ssh,我首先安装fail2ban,这将阻止那些不能login的用户。 我不打扰改变ssh端口,由于ssh的连接string,发现它仍然是微不足道的,而且真的比这个好处更麻烦。 此外,通过将/ etc / ssh / sshd_config中的PermitRootLogins更改为“no”,您应禁止在ssh上进行根login。
我不能告诉你如何追踪以前大量的stream量,但是netstat / lsof -i会给你连接列表,如果你再看一次,这可能会有所帮助。