Efter lidt diverse administration - kommer man hurtigt ned omkring katalogerne /var/log der i mit tilfælde indeholder bl.a. messages, secure m.fl hvor der er ret mange forsøg, på at logge på maskinen via SSH og Proftpd specielt.

Der er flere beskrivelser derude på hvordan man kan undgå dette. Men lad os med det samme slå fast SSH ligger default på port 22, og ftp på port 21 - og 90% af alle forsøg, er bare forsøg fra mærkelige mennesker, der forsøger at kigge tilfældigt på om du også har SSH eller proftpd kørenede på de porte, og efterfølgende hvis ja, forsøger de med en liste at passwords - for hvem ved, måske kan de få adgang.

Mht. SSH, er det letteste er vel blot at ændre porten til f.eks 4545 - en operation der blot kræver du editerer filen /etc/ssh/sshd_config og sætter Port 4545 i filen samt genstarter din demon /etc/rc.d/init.d/sshd reload. Typisk vil folk der forsøger tro at din SSHD tjenste dermed ikke kører - der er dog også enkelte mere standhaftige typer. I samme fil kan du også begrænse antallet at SSH demoner ved maxstartups 1 som også kan medvirke til sænkning af SSH forsøg. 

Skulle du stadig se forsøg er det det man vel kan kalde målrettet hacking forsøg, og du bør tale med din hosting udbyder.

Alternativt er som administrator af et VPS, at installere og køre programmet DenyHosts - der opsamler info på hvem der forsøger at logge sig på via ssh eller proftpd vha USERDEF_FAILED_ENTRY_REGEX (mere herom senere) for derefter at tilføje slamperten til /etc/hosts.deny filen og dermed lukke adgangen.

Et lille tip her er, at når man forsøger af køre denyhosts for første gang - kigger den f.eks hos mig ned i filen /var/log/secure - og fra den IP jeg sidder på lige nu, har jeg vist nok lige haft lidt for tykke fingre, et par gange - så en god ting er dels at oprette filen /etc/hosts.allow og inde i den skrive følgende

sshd: 192.0.0.1 # eller hvad der nu svarer til din IP adresse

Dermed lukker du ikke for din egen adgang - og det er en god ting har jeg hørt.

Ved kørsel laves der en liste over invalide brugere, hosts, suspicious logins etc - og dem der ikke overholder indholdet i denyhosts.cfg ryger lige i hosts.deny filen - og så er det vist helt slut med ssh forsøg derfra, eller ihvertfald med forsøg fra den proxy slamperten nu gemmer sig bag.

I standard udgaven checkes primært efter SSHd - og det er godt nok, men hurtigt opdager man slampert forsøg på at komme på som FTP - så for også at fange dem, tilføjes nedenstående til denyhosts.cfg filen.

USERDEF_FAILED_ENTRY_REGEX=re.compile(r""".*proftpd.*no such user found from (?P<host>.*) .*:21""")

Så skulle din secure log fil ændre markant udseende mht. vækst.