Nekonecne dlouhy auth.log
Dan Lukes
dan at obluda.cz
Wed Dec 10 10:52:17 CET 2008
Zbyněk Burget napsal/wrote, On 12/10/08 10:31:
> V posledni dobe se ale deje horsi vec, kdy nejaky stroj vyrobi jeden
> pokus (na vsechny servery) a pak da treba pul dne pokoj. A pak zase
> jeden pokus. Problem je, ze tech stroju jsou kvanta a pokusy o
> prihlaseni se objevuji v prumeru jednou za 4 min.
Jo, tomu se rika distribuovany utok. To se, skutecne, uz delsi dobu
deje. S tim nic nenadelas.
> Dec 10 10:14:54 ftp sshd[50156]: error: PAM: authentication error for
> illegal user lani from 58.39.145.213
> Dec 10 10:14:54 mail sshd[50159]: error: PAM: authentication error for
> illegal user lani from 81-208-90-63.ip.fastwebne.it
> Takze - nevite nekdo, kterak donutit sshd resp. PAM (netusim, kdo z nich
> ma obsah uvedeneho radku na svedomi), aby do logu vypisoval IP adresu a
> ne domenove jmeno?
To pise PAM subsystem.
> Co pouzivate na obranu pred temito utoky? Nemam strach, ze by se mi
> nekdo do stroje nalamal, jen mne se**u ty nekonecne dlouhe logy.
Heslo, o kterem si myslim, ze ho nebude tak snadne uhadnout. No a pak
proste nedovoluju prihlaseni z IP, ktera nema platny PTR zaznam. Cimz,
mimochodem, nemam problem se zaznamy ve dvou formatech.
Jestli mi chcete rict, ze pak se na stroj nemuzu prihlasit kdyz
nefunguje DNS tak pravda, ano. Na tom mam nakonfigurovany INETD aby na
jinem portu spoustel jine SSH, ktere mohou pouzit jen uzivatele skupiny
WHEEL, bez kontroly na reverz. Resi to soucasne situaci, kdy standalone
sshd z jakehokoliv duvodu havaruje ...
Dlouhe LOGy me uz nestvou davno. A maillog je stejne daleko vetsi. Kdyz
v nich hledam neco konkretniho, GREP mi je zkrati.
Dan
More information about the Users-l
mailing list