Tôi có một máy chủ chạy Debian 6.0 với logcheck được cài đặt. Hôm qua, tôi nhận được tin nhắn này:
Jan 19 19:15:10 hostname sshd[28397]: Authentication tried for root with correct key but not from a permitted host (host=4.red-2-140-77.dynamicip.rima-tde.net, ip=2.140.77.4).
Tôi không biết đây là ai và tôi nghi ngờ anh ta ở đó một cách tình cờ.
Bây giờ, tôi nên làm gì?
Điều đầu tiên tôi làm là vô hiệu hóa xác thực mật khẩu ssh và chuyển sang khóa chung / riêng. Tôi cũng kiểm tra tệp ủy quyền và chỉ thấy khóa công khai của mình
Tiếp theo là gì?
Làm thế nào tôi có thể biết những gì người kia đã làm trên máy của tôi?