Eu tenho uma pergunta sobre arquivos de log em uma caixa Debian.
Estou executando um servidor PHP de baixo volume, portanto, a maioria dos arquivos de log é pequena. No entanto, auth , fail2ban (e daemon ) são enormes , mesmo com a rotação de log.
2000K auth.log
600K fail2ban.log
200K daemon.log
5K dpkg.log
5K mail.log
5K alternatives.log
1K user.log
1K kern.log
1K php7.0-fpm.log
fail2ban contém apenas muitas linhas com INFO/NOTICE [sshd] Found (IP) e auth contém várias linhas com user unknown e Failed password , presumivelmente de ataques automáticos.
(o SSH no servidor tem logins de senha desativados e só é acessível por chaves RSA.)
Não consigo ler auth.log manualmente, e tentativas de login mal-sucedidas parecem informações sem valor, já que estão acontecendo o tempo todo (e fizeram falhar), então como eu me relaciono para esses dois arquivos?
Posso configurá-los para conter menos informações? Existe uma maneira de agregar todas as falhas? Existe alguma coisa neles que identifique uma invasão mais séria ou real?
Ou eu deveria simplesmente ignorar os arquivos de log e focar no fortalecimento geral do sistema, e aceitar que os arquivos de log infelizmente terão muito barulho hoje em dia?
Você deve alterar a porta na qual os servidores SSH são executados de 22 para outra porta (superior), por exemplo, 22222.
Os atacantes automatizados usam a porta padrão, por isso não poderão se conectar e, portanto, não serão registrados.
Embora esta contramedida seja inútil contra um invasor humano (uma varredura de porta do seu servidor irá abrir a porta SSH), é muito eficaz contra bots. Pense nisso como uma camada adicional de segurança.