Hinweis: Das Forum wird geschlossen! Neue Registrierungen sind nicht mehr möglich!

 Zurück zu Pro-Linux   Foren-Übersicht   FAQ     Suchen    Mitgliederliste
last, lastb, shh loggen, automatische mails, ...

 
Neuen Beitrag schreiben   Auf Beitrag antworten    Pro-Linux Foren-Übersicht -> Sicherheit
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
pete23



Anmeldungsdatum: 16.09.2004
Beiträge: 13

BeitragVerfasst am: 21. Sep 2004 21:53   Titel: last, lastb, shh loggen, automatische mails, ...

hallo!
ich habe einen linux-server, den ich gerne remote-administrieren würde. im wesentlichen ist das ding bis jetzt nur ein fileserver (samba) ohne wirklich sensible daten und für mich mehr ne spielerei.
ich würde aber gerne folgendes erreichen:

1.) jede ssh-verbindung loggen, insbesondere auch verbindungsversuche.
hier habe ich schon mal das erste problem: "last" zeigt mir schön alle logins an. "lastb" sollte mir die fehlgeschlagenen logins anzeigen.
/var/log/btmp existiert bei mir aber nicht.

wo kann ich einstellen, dass auch fehlversuche geloggt werden?

in /var/log/messages steht allerdings schon, wer sich wann eingeloggt bzw das versucht hat. hier habe ich das problem, dass ich zwar die IP eines rechners sehe, der sich zB als root einwählen wollte (root-login habe ich nicht erlaubt), wenn er sich aber als ein von sshd zugelassener user einwählt und ein falsches passwort angibt, dann steht dort nur "error: PAM: authentication failure"
muss ich da in der PAM-config etwas ändern? (habe nix gefunden)

sollte jemand connecten wollen, dann würde ich gerne wissen, wer es war! (also die ip)

2.) bei bestimmten aktivitäten automatisch eine mail senden:
also ich würde gerne eine mail bekommen, wenn sich jemand eingeloggt hat.

mich würde interessieren, ob es in die richtung schon tools gibt oder so etwas ohnehin kein problem ist, oder aber ob ich mir sowas selbst basteln müsste.

3) ich schätze das wird nicht so schwierig sein (habs noch nicht versucht), aber falls es mir jemand schnell beantworten möchte: wo kann ich die zeit zwischen zwei loginversuchen einstellen (erhöhen) bzw. einen account für bestimmte zeit sperren?

thx!
 
Benutzer-Profile anzeigen Private Nachricht senden

max



Anmeldungsdatum: 14.05.2000
Beiträge: 806
Wohnort: Ruhrpott

BeitragVerfasst am: 21. Sep 2004 22:45   Titel:

leider kann ich dir jetzt keine fertige Antwort geben, aber
das meiste davon solltest du mit einen höheren Log-Level, cron und ein bissel scripten selbst hinkriegen falls nicht, frage noch mal hier nach.

Aber was allgemeines: IMHO ist sowas nur begrenzt sinnvoll, solange Dir das klar ist,ist das ok, nur bitte verlange davon keine wirkliche Sicherheit, die gewinnst du nämlich nicht dadurch.
Ein sog. "HAcker|Cracker" würde sich nämlich nicht dadurch verraten.
An eine root-shell kommt er vermutlich durch eine Sicherheitslücke oder einer Fehlkonfiguration undnicht via Brute-Force durch ssh.
Da klopfen nur Kiddies an die du einfach links liegen lassen kannst.
(Wenn interessieren schon die hundert Portscans am Tag?)
Installiere mal snort und bringe snort dazu dich nur zu informieren wenn wirklich was interessantes passiert, dann weißt du evt. was ich meine.

Also installiere ein IDS, kombiniere das mit eigen Kreationen und anderen Sachen.
Gruß
Max
 
Benutzer-Profile anzeigen Private Nachricht senden

pete23



Anmeldungsdatum: 16.09.2004
Beiträge: 13

BeitragVerfasst am: 21. Sep 2004 23:20   Titel:

@max:
mich interessiert einfach auch, ob es jemand (in dem fall einfach leute die ich kenne und die sich einen scherz erlauben wollen) probiert.

ansonsten: wenn ich wirklich nur ssh und samba laufen habe (und die aktuell halte), dann wirds doch nicht so leicht sein eine sicherheitslücke zu finden oder?

zusatz: wenn man durch eine sicherheitslücke an root rechte kommt, dann scheint dieser "user" auch nirgends auf, oder? also ich würde ihn zB nicht mit "who" sehen?
 
Benutzer-Profile anzeigen Private Nachricht senden

max



Anmeldungsdatum: 14.05.2000
Beiträge: 806
Wohnort: Ruhrpott

BeitragVerfasst am: 22. Sep 2004 9:49   Titel:

du könntest mittels cron die logdateien durchforsten und dir entpsrechende Meldungen mailen lassen.
Es gibt logtail das ist Bestandteil eines anderes Paketes. Gut um alte Einträge nicht doppelt zu durchforsten.
Umso weniger drauf läuft umso besser.
Das habe ich zu Samba SWAT gefunden, google mal einfach nach:
#!/usr/bin/perl
# Samba 3.0.4 and prior's SWAT Authorization Buffer Overflow
# Created by Noam Rathaus of Beyond Security Ltd.
#

use IO::Socket;
use strict;

my $host = $ARGV[0];

my $remote = IO::Socket::INET->new ( Proto => "tcp", PeerAddr => $host,
PeerPort => "901" );

....(gekürzt)....

angenommen du bringst durch einen Overflow ein Programm z.b. bash mit root rechten zu öffnen.
Als erstes installiert der Angreifer ein rootkit und bereinigt danach alle Logdateien.
 
Benutzer-Profile anzeigen Private Nachricht senden

pete23



Anmeldungsdatum: 16.09.2004
Beiträge: 13

BeitragVerfasst am: 23. Sep 2004 21:58   Titel:

hmm, also den sambaserver brauch ich eigentlich eh nur lokal. könnte ich mal so konfigurieren, dass er nur lokale ips akzeptiert. und von der router-firewall aus müsste ich eigentlich nur ssh forwarden.
und da wird jeder verbindungsaufbau von sshd bzw. der susefirewall protokolliert.
(aber es wird nix verhindert...)

aber ich hab von der anderen seite, also dem versuch in ein system einzudringen, nur sehr theoretische ahnung. vielleicht sollte ich mich damit mal beschäftigen... naja, egal...

nach welchen meldungen würdest du welche logdateien durchforsten? (nur paar stichworte...)
thx!
 
Benutzer-Profile anzeigen Private Nachricht senden

killerhippy



Anmeldungsdatum: 19.05.2000
Beiträge: 529

BeitragVerfasst am: 06. Okt 2004 21:11   Titel:

man last

einfach
Code:
touch /var/log/lastb

_________________
Es gibt keine dumme Fragen!

Killerhippy
 
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen

Beiträge vom vorherigen Thema anzeigen:   
     Pro-Linux Foren-Übersicht -> Sicherheit Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehen Sie zu:  

Powered by phpBB © phpBB Group
pro_linux Theme © 2004 by Mandaxy