Hum, me revoilà avec une question :D
Je me penche maintenant à vérifier les connexions faites sur mon serveur Ssh. J'ai donc trouvé sur Internet que le fichier des logs était /var/log/auth mais je ne l'ai pas.
Peut être faut t'il configurer le sshd_config pour générer les logs, et voilà ce que j'ai :
# Logging
# obsoletes QuietMode and FascistLogging
# SyslogFacility AUTH
# LogLevel INFO
J'ai donc décommenté les 2 dernières lignes, fait un stop et start du rc.sshd, mais rien y fait, toujours pas de fichier log. (En décommentant la seconde ligne, le serveur ssh ne démarre pas, donc je ne sais pas décommenter plus lol).
Quelqu'un pourrait t'il me renseigner ?
PS. Pour info, je viens de trouver un script perl qui se connecte sur le fichier log de sshd et qui met en base mysql les IP rejetés. Ca fait ensuite des iptables, c'est magiques lol, le tout administrable en php (ajout/retrait de banissement), d'où l'utilité de MySql. Le fichier Perl est à mettre en crond ensuite.
Me reste juste à 'activer' le fichier log de sshd. Sinon, j'ai bien un fichier btmp dans le /var/log, mais ce n'est pas ça que je cherche, ni le syslog (avant que l'on me donne ce fichier LoL)
Merci d'avance :D
# syslog
Posté par Brahici . Évalué à 4.
sur ma deb (désolé, pas de slack), /etc/syslog.conf contient :
auth,authpriv.* /var/log/auth.log
[^] # Re: syslog
Posté par un compte supprimé . Évalué à 0.
Sinon, même en changeant de port, un nmap suffit pour connaître les ports ouvert, mais c'est vrai que ca peut être une solution.
Mais une personne qui attaque le ssh, peut aussi attaquer autre chose, donc ca fait genre piège à souris mon port 22. (Pas de root permit en login, clef RSA, et mot de passe assez long :P, je vais surement aussi mettre en crond un temps de fonctionnement du serveur Ssh, comme font les grosses banques, par exemple de telle heure à telle heure, ca ne fonctionnera pas :P, enfin, ce sont des idées...
Sinon, il est vrai que trop de règles, tue l'efficacité, mais il suffit d'ajouter dans le crond un netoyage du log, tout les mois par exemple, et le script perl reprend en compte les modifs et nettoye les règles en même temps. Ca fait donc 3 essais et ceci, par mois, si le gars tiens, c'est qu'il est tenace :D
Merci encore à tous, je vais tester ça :P
[^] # Re: syslog
Posté par un compte supprimé . Évalué à 0.
Le script perl fonctionne, cependant, il utilise un outils debian, logtail, qui n'existe pas en package Slackware. J'ai essayé un tail seul, mais ca ne fonctionne pas plus.
J'attend donc la validation de mon inscription sur un autre forum (où j'ai récupéré ce script suite à une discussion), mais c'est long, c'est une personne qui valide, bouhhh (linuxfr powaa :P).
Sinon, il y aurrai une personne qui sait où trouver les sources de logtail, car je trouve tout en .deb.
Ce package est disponible en apt-get pour debian, mais n'existe pas pour slapt-get de Slackware.
merci d'avance :D
[^] # Re: syslog
Posté par kolter (site web personnel, Mastodon) . Évalué à 2.
=> http://packages.debian.org/unstable/admin/logtail(...)
ça fait partit du paquet logcheck, qui est un outil développé par debian !!!
http://logcheck.org/(...)
M.
[^] # Re: syslog
Posté par un compte supprimé . Évalué à 1.
En plus ca fonctionne, Nickel !
# changer de port
Posté par kolter (site web personnel, Mastodon) . Évalué à 4.
M.
[^] # Re: changer de port
Posté par niol (site web personnel) . Évalué à 2.
[^] # Re: changer de port
Posté par Mr_Moustache . Évalué à 2.
[^] # Re: changer de port
Posté par un compte supprimé . Évalué à 0.
J'aimerai faire une petite modification dans la façon où mon log est construit, actuellement, j'ai ceci :
Jul 29 15:15:31 ns sshd[15833]: Failed password for user from 192.168.0.2 port 1793 ssh2
et j'aimerai ne pas afficher "port ???? ssh2" à la fin de mes lignes. Même en modifiant le LogLevel, ca ne se retire pas. Il y as t'il une possibilité de le faire sous Slackware ? Car sous des logs de Debian, ca n'existe pas ces infos superflues.
Je souhaites retirer ces info car le script en perl qui fait un 'parsing' du fichier log ne fonctionne pas avec ça. On m'a dit de modifier le parse, mais je n'y connais rien en perl.
Si une personne as la solution, qu'il me le dise, où si il y as une personne qui souhaites voir le script perl et m'aider à le personnaliser en fonction de mon log, ca serai très gentils.
Merci une nouvelle fois ...
[^] # Re: changer de port
Posté par un compte supprimé . Évalué à 0.
http://forum.hardware.fr/forum2.php?config=hardwarefr.inc&cat=1(...)
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.