Forum Linux.slackware où se trouve les logs sshd svp ?

Posté par  .
Étiquettes : aucune
0
26
juil.
2005
Hum, me revoilà avec une question :D

Je me penche maintenant à vérifier les connexions faites sur mon serveur Ssh. J'ai donc trouvé sur Internet que le fichier des logs était /var/log/auth mais je ne l'ai pas.

Peut être faut t'il configurer le sshd_config pour générer les logs, et voilà ce que j'ai :

# Logging
# obsoletes QuietMode and FascistLogging
# SyslogFacility AUTH
# LogLevel INFO

J'ai donc décommenté les 2 dernières lignes, fait un stop et start du rc.sshd, mais rien y fait, toujours pas de fichier log. (En décommentant la seconde ligne, le serveur ssh ne démarre pas, donc je ne sais pas décommenter plus lol).

Quelqu'un pourrait t'il me renseigner ?

PS. Pour info, je viens de trouver un script perl qui se connecte sur le fichier log de sshd et qui met en base mysql les IP rejetés. Ca fait ensuite des iptables, c'est magiques lol, le tout administrable en php (ajout/retrait de banissement), d'où l'utilité de MySql. Le fichier Perl est à mettre en crond ensuite.

Me reste juste à 'activer' le fichier log de sshd. Sinon, j'ai bien un fichier btmp dans le /var/log, mais ce n'est pas ça que je cherche, ni le syslog (avant que l'on me donne ce fichier LoL)

Merci d'avance :D

  • # syslog

    Posté par  . Évalué à 4.

    si tu actives SyslogFacility AUTH, alors il faut voir dans la configuration de syslog le nom du fichier associé au 'service' auth.

    sur ma deb (désolé, pas de slack), /etc/syslog.conf contient :
    auth,authpriv.* /var/log/auth.log

    • [^] # Re: syslog

      Posté par  . Évalué à 0.

      Cool, merci pour la soluce avec le syslog.conf, je l'utilisai en tail -f, mais je ne savais pas qu'il y avait un fichier de configuration pour ça. Ca semble identique avec la Slack.

      Sinon, même en changeant de port, un nmap suffit pour connaître les ports ouvert, mais c'est vrai que ca peut être une solution.

      Mais une personne qui attaque le ssh, peut aussi attaquer autre chose, donc ca fait genre piège à souris mon port 22. (Pas de root permit en login, clef RSA, et mot de passe assez long :P, je vais surement aussi mettre en crond un temps de fonctionnement du serveur Ssh, comme font les grosses banques, par exemple de telle heure à telle heure, ca ne fonctionnera pas :P, enfin, ce sont des idées...

      Sinon, il est vrai que trop de règles, tue l'efficacité, mais il suffit d'ajouter dans le crond un netoyage du log, tout les mois par exemple, et le script perl reprend en compte les modifs et nettoye les règles en même temps. Ca fait donc 3 essais et ceci, par mois, si le gars tiens, c'est qu'il est tenace :D

      Merci encore à tous, je vais tester ça :P

      • [^] # Re: syslog

        Posté par  . Évalué à 0.

        Sympa, j'ai ajouté un bloc de nom auth qui pointe sur le fichier /var/log/auth.log

        Le script perl fonctionne, cependant, il utilise un outils debian, logtail, qui n'existe pas en package Slackware. J'ai essayé un tail seul, mais ca ne fonctionne pas plus.

        J'attend donc la validation de mon inscription sur un autre forum (où j'ai récupéré ce script suite à une discussion), mais c'est long, c'est une personne qui valide, bouhhh (linuxfr powaa :P).

        Sinon, il y aurrai une personne qui sait où trouver les sources de logtail, car je trouve tout en .deb.

        Ce package est disponible en apt-get pour debian, mais n'existe pas pour slapt-get de Slackware.

        merci d'avance :D

  • # changer de port

    Posté par  (site web personnel, Mastodon) . Évalué à 4.

    AMHA la meilleure solution pour éviter les script kiddies reste encore de changer le port de ssh, c'est bénéfique à tout point de vue, pas besoin de faire tourner des scripts qui recherche les adresses à backlister, te faire tourner une BDD pour les stocker et d'augmenter les nombre de règles d'iptables ... d'ailleurs plus y'aura de regles de backlistage dans iptables moins bon ce sera !!!!

    M.

    • [^] # Re: changer de port

      Posté par  (site web personnel) . Évalué à 2.

      Et en plus dans certains cas, cà permet de passer à travers squid!

    • [^] # Re: changer de port

      Posté par  . Évalué à 2.

      Il existe d'autres solutions discutées là: https://linuxfr.org/~madcat/18751.html(...)

      • [^] # Re: changer de port

        Posté par  . Évalué à 0.

        Bonjour à nouveau.

        J'aimerai faire une petite modification dans la façon où mon log est construit, actuellement, j'ai ceci :

        Jul 29 15:15:31 ns sshd[15833]: Failed password for user from 192.168.0.2 port 1793 ssh2

        et j'aimerai ne pas afficher "port ???? ssh2" à la fin de mes lignes. Même en modifiant le LogLevel, ca ne se retire pas. Il y as t'il une possibilité de le faire sous Slackware ? Car sous des logs de Debian, ca n'existe pas ces infos superflues.

        Je souhaites retirer ces info car le script en perl qui fait un 'parsing' du fichier log ne fonctionne pas avec ça. On m'a dit de modifier le parse, mais je n'y connais rien en perl.

        Si une personne as la solution, qu'il me le dise, où si il y as une personne qui souhaites voir le script perl et m'aider à le personnaliser en fonction de mon log, ca serai très gentils.

        Merci une nouvelle fois ...

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.