※ 引述《dollya.bbs@bbs.ntu.edu.tw (大頭)》之銘言:
> 從Fedora secure log檔發現 SSHD 被駭入,已暫時用hosts.allow 限制連線IP範圍,
> 但看系統mail,每天都有被Try看不懂的訊息如下:
> Selinux Audit
> ===============
> root root(file): 20 times <==他用root帳號try嗎? file是指?
> root System_u(dir): 8 times <==他已用對帳號嗎? dir 是指?
> root System_u(tcp_socket): 2 times <== socket是指?
> root unconfined_u(file): 29 times <==他沒用對帳號嗎?
> 從哪個log檔可以看到對方的IP呢?
> 我想知他是透過哪個管道,以便堵他亂TRY,先謝了...
好的作法是限制只有特定來源可以連線,或者是你要換 port 也可以。
另外或者是裝 fail2ban 可以對於這類異常偵測阻擋。
--
-- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- --
現代人普遍的現象: 「小學而大遺」、「捨本而逐末」
「以偏而概全」、「因噎而廢食」
-- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- --
--
※ Origin: SayYA 資訊站 <bbs.sayya.org>
◆ From: kendlee.sayya.org
討論串 (同標題文章)