Да - создает отдельную группу для каждого проекта и связанных пользователей и делают файлы связанными с этой группой записываемый/исполняемый, не записываемый/исполняемый другими. Веб-сервер должен получить доступ к файлам/директорам как к 'другому' пользователю (таким образом, это должно быть читаемо для других и также исполняемого файла, если это - каталог).
Каталоги для проекта должны иметь группу липкий набор битов так, чтобы новые файлы / каталоги были созданы, как принадлежится той группе.
Наконец, это была бы хорошая практика для ограничения доступа SSH к этим группам, которые Вы добавили.
Как выглядят эти записи журнала?
Сервер ssh должен регистрировать IP-адреса по умолчанию в /var/log/auth.log и других файлах журнала, например:
Aug 1 12:21:30 example.host sshd[1174]: Failed password for invalid user example from 192.0.2.1 port 9460 ssh2
Aug 1 12:21:32 example.host sshd[1176]: Invalid user root from 192.0.2.10
Если в записях журнала, о которых вы спрашиваете, нет строки «sshd», я сомневаюсь, что они действительно пришли с сервера ssh, и вам нужно поискать в другом месте. Посмотрите на строку, идущую после имени хоста, она сообщает вам, какая программа записывала журнал.
Вы также можете проверить / etc / ssh / sshd_config и посмотреть, правильный ли уровень журнала, по умолчанию при сжатии:
# Logging
SyslogFacility AUTH
LogLevel INFO
Возможно, увеличение количества подробностей поможет раскрыть больше информации. Запись журнала, которую вы добавили в свой вопрос, должна предшествовать записи журнала, как показано выше.
Вы будете видеть, что соединения открываются и закрываются для SSH всякий раз, когда соединение установлено, независимо от того, успешно ли кто-то вошел в систему или нет.
Чтобы просмотреть дополнительную информацию об успешных и неудачных попытках входа в систему через ssh посмотрите / var / log / secure
и / или / var / log / messages
.
*** Обратите внимание, что местоположение может отличаться в зависимости от вашего дистрибутива Linux и / или вашего хостинг-провайдера. *
Я решил проблему с открытием и закрытием сессий в auth.log
, закомментировав настройки ChallengeResponseAuthentication
и UsePAM
. на / etc / ssh / sshd_config
с
ChallengeResponseAuthentication yes
UsePAM yes
до
#ChallengeResponseAuthentication yes
#UsePAM yes
Другими словами, я временно отключил модуль PAM, пока выясняю правильные настройки с его поставщиком.
Если у вас есть доступ к пользователю root на сервере, вы можете использовать iptables для реализации оператора 'LOG' для всех НОВЫХ подключений на tcp порт 22.