在 Tomcat 7 上部署我们的应用程序后,我们得到了很多:
<date> org.apache.catalina.realm.LockOutRealm authenticate
WARNING: An attempt was made to authenticate the locked user "admin"
在访问日志中,我们发现了很多这样的:
91.121.4.141 - - <date> "GET /manager/html HTTP/1.1" 401 2486
这似乎是一个法国ISP(OVH SAS)。
发生什么了?他们是否尝试登录,ping?是僵尸网络吗?
我们如何防止这种登录尝试?
这看起来像是对 Manager 应用程序的暴力攻击。LockoutRealm 已完成其工作并锁定用户以防止攻击成功。但是,这确实意味着合法用户也无法登录。假设攻击来自单个 IP,请尽早在网络中阻止该 IP 并继续前进。
有用的信息可能在这里: https ://serverfault.com/questions/244614/is-it-normal-to-get-hundreds-of-break-in-attempts-per-day
以及如何检查(在 CentOS/RedHat 上)失败
cat /var/log/secure | grep 'sshd.*Invalid'
成功的登录尝试
cat /var/log/secure | grep 'sshd.*opened'
阻止每 15 秒尝试一次的用户
iptables -A INPUT -p tcp -i eth0 -m state --state NEW --dport 22 -m recent --update --seconds 15 -j DROP
iptables -A INPUT -p tcp -i eth0 -m state --state NEW --dport 22 -m recent --set -j ACCEPT
和关于 Auth 的完整报告
aureport
其他工具信息在这里
http://www.tecmint.com/5-best-practices-to-secure-and-protect-ssh-server/
还有一些安全技术在这里