fichiers dans lesquels les tentatives d'effraction sont enregistrées
Serveur Ubuntu avec Apache, hébergeant plusieurs sites Web et serveurs de messagerie.
Outre /var/log/auth.log, existe-t-il d'autres endroits où les tentatives d'effraction sont enregistrées?
Contexte: J'avais l'habitude d'avoir beaucoup de tentatives d'effraction. Ensuite, j'ai désactivé la connexion par mot de passe pour root. Maintenant, je me connecte uniquement à root via les clés SSH. De plus, il n'y a pas de comptes d'utilisateurs non root.
Je ne vois aucune tentative d'effraction dans /var/log/auth.log plus. C'est étrange pour moi parce que je suis conscient que des gens essaient toujours de pénétrer dans mon serveur.
Donc ma question est, sous mon nouveau mécanisme d'authentification:
est-ce que les "briseurs potentiels" ne parviennent pas au point de mon serveur où leurs tentatives seraient enregistrées?
ou est-ce que je cherche dans le mauvais fichier journal (
/var/log/auth.log)?
Si (2), alors où dois-je vérifier les tentatives d'effraction?
Les échecs d'authentification SSH sont enregistrés par défaut dans /var/log/auth.log.
Vous devriez toujours voir les échecs d'authentification enregistrés après les modifications que vous décrivez - autre chose doit avoir changé. La connexion root est entièrement désactivée et l'authentification par clé uniquement avec les mots de passe désactivés pour les comptes d'utilisateurs. Je vois toujours quelques échecs par heure dans auth.log avant qu'ils ne soient bloqués avec fail2ban.
Des services bien conçus consigneront les échecs d'authentification avec la fonction syslog auth et seront également enregistrés ici. Il est recommandé d'exporter vos journaux vers un serveur syslog distant pour empêcher un attaquant de masquer son intrusion s'il obtient root.
Dans un sens plus général, "tentatives d'effraction" est un terme trop vague pour cette question. Cela peut signifier n'importe quoi, de l'injection SQL aux débordements de tampon. Les tentatives d'intrusion peuvent être subtiles et difficiles, voire impossibles à distinguer du trafic légitime. Vous ne pouvez pas détecter chaque attaque.