放在外網(wǎng)的機器,比較怕的是ssh的暴力破解,因此記錄登錄失敗日志,并且借用一些攻擊,比如sshguard等,或者寫個腳本自動的把日志中嘗試登錄次數(shù)過多的IP加入到hosts.deny中比較明智。不過新裝的Gentoo居然沒有發(fā)現(xiàn)/var/log/auth.log這個日志文件?用Ubuntu和Redhat的時候都發(fā)現(xiàn)有的。查了一下網(wǎng)絡,才發(fā)現(xiàn)是syslog-ng的配置問題。Gentoo默認的syslog-ng的配置中并沒有配置些auth log的項,可以加上一下三行:
filter f_authpriv { facility(auth, authpriv); };
destination authlog { file("/var/log/auth.log"); };
log { source(src); filter(f_authpriv); destination(authlog); };
這樣登錄失敗的嘗試就可以被記錄了。syslog-ng很好,有空還要好好學一下詳細使用。
對于配置了iptables的用戶,用sshguard的解決方案比較好,它自動的處理登錄失敗的嘗試,并且在iptables拒絕嘗試過多的IP,挺好的,不過他在gentoo上還是被hardened profile mask的。