※ 引述《dollya.bbs@bbs.ntu.edu.tw (大頭)》之銘言： > 從Fedora secure log檔發現 SSHD 被駭入,已暫時用hosts.allow 限制連線IP範圍, > 但看系統mail,每天都有被Try看不懂的訊息如下: > Selinux Audit > =============== > root root(file): 20 times <==他用root帳號try嗎? file是指? > root System_u(dir): 8 times <==他已用對帳號嗎? dir 是指? > root System_u(tcp_socket): 2 times <== socket是指? > root unconfined_u(file): 29 times <==他沒用對帳號嗎? > 從哪個log檔可以看到對方的IP呢? > 我想知他是透過哪個管道,以便堵他亂TRY,先謝了... 好的作法是限制只有特定來源可以連線，或者是你要換 port 也可以。 另外或者是裝 fail2ban 可以對於這類異常偵測阻擋。 -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- 現代人普遍的現象: 「小學而大遺」、「捨本而逐末」 「以偏而概全」、「因噎而廢食」 -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- ※ Origin: SayYA 資訊站 <bbs.sayya.org> ◆ From: kendlee.sayya.org