linux主机ssh异地登录和暴力破解的检测

保护linux系统的安全，首先考虑的就是ssh登录的安全

 

日志来源如下：

/var/log/secure（centos）

/var/log/auth.log（ubuntu）

其实日志名是可以配置的，不过一般没人改，配置方法如下：

/etc/ssh/sshd_conf

SyslogFacility    AUTHPRIV

/etc/syslog.conf

authpriv.*    /var/log/secure

重点关注的日志内容如下，这里记载了客户端连接的信息：

authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.1.100  user=root

Accepted password for root from 192.168.1.100 port 26333 ssh2

Accepted publickey for root from 192.168.1.100 port 27743 ssh2

通过特定的策略分析日志，就可以发现暴力破解和异地登录的情况

对于暴力破解，可以把攻击者的IP写在如下文件：

/etc/hosts.deny

格式为：

sshd: 192.168.1.100