last, lastb, shh loggen, automatische mails, ...

Post Reply
Message
Author
pete23
Posts: 13
Joined: 16. Sep 2004 10:10

last, lastb, shh loggen, automatische mails, ...

#1 Post by pete23 »

hallo!
ich habe einen linux-server, den ich gerne remote-administrieren würde. im wesentlichen ist das ding bis jetzt nur ein fileserver (samba) ohne wirklich sensible daten und für mich mehr ne spielerei.
ich würde aber gerne folgendes erreichen:

1.) jede ssh-verbindung loggen, insbesondere auch verbindungsversuche.
hier habe ich schon mal das erste problem: "last" zeigt mir schön alle logins an. "lastb" sollte mir die fehlgeschlagenen logins anzeigen.
/var/log/btmp existiert bei mir aber nicht.

wo kann ich einstellen, dass auch fehlversuche geloggt werden?

in /var/log/messages steht allerdings schon, wer sich wann eingeloggt bzw das versucht hat. hier habe ich das problem, dass ich zwar die IP eines rechners sehe, der sich zB als root einwählen wollte (root-login habe ich nicht erlaubt), wenn er sich aber als ein von sshd zugelassener user einwählt und ein falsches passwort angibt, dann steht dort nur "error: PAM: authentication failure"
muss ich da in der PAM-config etwas ändern? (habe nix gefunden)

sollte jemand connecten wollen, dann würde ich gerne wissen, wer es war! (also die ip)

2.) bei bestimmten aktivitäten automatisch eine mail senden:
also ich würde gerne eine mail bekommen, wenn sich jemand eingeloggt hat.

mich würde interessieren, ob es in die richtung schon tools gibt oder so etwas ohnehin kein problem ist, oder aber ob ich mir sowas selbst basteln müsste.

3) ich schätze das wird nicht so schwierig sein (habs noch nicht versucht), aber falls es mir jemand schnell beantworten möchte: wo kann ich die zeit zwischen zwei loginversuchen einstellen (erhöhen) bzw. einen account für bestimmte zeit sperren?

thx!

User avatar
max
Posts: 806
Joined: 14. May 2000 12:55
Location: Ruhrpott

#2 Post by max »

leider kann ich dir jetzt keine fertige Antwort geben, aber
das meiste davon solltest du mit einen höheren Log-Level, cron und ein bissel scripten selbst hinkriegen falls nicht, frage noch mal hier nach.

Aber was allgemeines: IMHO ist sowas nur begrenzt sinnvoll, solange Dir das klar ist,ist das ok, nur bitte verlange davon keine wirkliche Sicherheit, die gewinnst du nämlich nicht dadurch.
Ein sog. "HAcker|Cracker" würde sich nämlich nicht dadurch verraten.
An eine root-shell kommt er vermutlich durch eine Sicherheitslücke oder einer Fehlkonfiguration undnicht via Brute-Force durch ssh.
Da klopfen nur Kiddies an die du einfach links liegen lassen kannst.
(Wenn interessieren schon die hundert Portscans am Tag?)
Installiere mal snort und bringe snort dazu dich nur zu informieren wenn wirklich was interessantes passiert, dann weißt du evt. was ich meine.

Also installiere ein IDS, kombiniere das mit eigen Kreationen und anderen Sachen.
Gruß
Max

pete23
Posts: 13
Joined: 16. Sep 2004 10:10

#3 Post by pete23 »

@max:
mich interessiert einfach auch, ob es jemand (in dem fall einfach leute die ich kenne und die sich einen scherz erlauben wollen) probiert.

ansonsten: wenn ich wirklich nur ssh und samba laufen habe (und die aktuell halte), dann wirds doch nicht so leicht sein eine sicherheitslücke zu finden oder?

zusatz: wenn man durch eine sicherheitslücke an root rechte kommt, dann scheint dieser "user" auch nirgends auf, oder? also ich würde ihn zB nicht mit "who" sehen?

User avatar
max
Posts: 806
Joined: 14. May 2000 12:55
Location: Ruhrpott

#4 Post by max »

du könntest mittels cron die logdateien durchforsten und dir entpsrechende Meldungen mailen lassen.
Es gibt logtail das ist Bestandteil eines anderes Paketes. Gut um alte Einträge nicht doppelt zu durchforsten.
Umso weniger drauf läuft umso besser.
Das habe ich zu Samba SWAT gefunden, google mal einfach nach:
#!/usr/bin/perl
# Samba 3.0.4 and prior's SWAT Authorization Buffer Overflow
# Created by Noam Rathaus of Beyond Security Ltd.
#

use IO::Socket;
use strict;

my $host = $ARGV[0];

my $remote = IO::Socket::INET->new ( Proto => "tcp", PeerAddr => $host,
PeerPort => "901" );

....(gekürzt)....

angenommen du bringst durch einen Overflow ein Programm z.b. bash mit root rechten zu öffnen.
Als erstes installiert der Angreifer ein rootkit und bereinigt danach alle Logdateien.

pete23
Posts: 13
Joined: 16. Sep 2004 10:10

#5 Post by pete23 »

hmm, also den sambaserver brauch ich eigentlich eh nur lokal. könnte ich mal so konfigurieren, dass er nur lokale ips akzeptiert. und von der router-firewall aus müsste ich eigentlich nur ssh forwarden.
und da wird jeder verbindungsaufbau von sshd bzw. der susefirewall protokolliert.
(aber es wird nix verhindert...)

aber ich hab von der anderen seite, also dem versuch in ein system einzudringen, nur sehr theoretische ahnung. vielleicht sollte ich mich damit mal beschäftigen... naja, egal...

nach welchen meldungen würdest du welche logdateien durchforsten? (nur paar stichworte...)
thx!

User avatar
killerhippy
Posts: 529
Joined: 19. May 2000 19:36
Contact:

#6 Post by killerhippy »

man last

einfach

Code: Select all

touch /var/log/lastb
Es gibt keine dumme Fragen!

Killerhippy

Post Reply