ハッキングされているように見えるログエントリがいくつかあります。
タイプ1
Dec 26 03:09:01 ... CRON[9271]: pam_unix(cron:session): session closed for user root
Dec 26 03:17:01 ... CRON[9308]: pam_unix(cron:session): session opened for user root by (uid=0)
タイプ2
Dec 26 03:27:11 ... sshd[9364]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=60.217.235.5 user=root
Dec 26 03:27:12 ... sshd[9364]: Failed password for root from 60.217.235.5 port 47933 ssh2
これはどういう意味ですか?通常5つの単位で使用されます。私はそれを可能にしましたufw limit ssh。だから私はUFWがそれを踏んでいると思います。ところで、2種類、1つの認証失敗、1つのセッションが終了した理由を知りたいです。
denyhostsSSHポートを使用して変更し、rootログインを無効にしてそれに応答する必要があると思いますか?また何ができますか?前回拒否ホストを使用したときに私もブロックされました。また、UFW再試行時間を増やすことはできますか?たとえば、1時間後にログインを許可しますか?ログイン試行を3回に減らすことができますか?
ベストアンサー1
すでに述べたように、最初のタイプはSSHに関連するものからは出ませんが、有害ではありませんが、一般的なcronデーモンのアクティビティログです。 2番目はハッカーのログイン試行であり、それに従う必要があります。denyhosts役に立つかもしれませんが、rootログインの可能性を無効にすることも非常に良い考えです。とは別に denyhosts、いいえ変える! )