Nekonecne dlouhy auth.log
Dan Lukes
dan at obluda.cz
Wed Dec 10 15:46:45 CET 2008
Zbyněk Burget napsal/wrote, On 12/10/08 12:23:
>> proste nedovoluju prihlaseni z IP, ktera nema platny PTR zaznam. Cimz,
>> mimochodem, nemam problem se zaznamy ve dvou formatech.
> Tohohle jsem jednou chtel docilit, ale nejak se mi to nepovedlo
Mozna to umi i SSHD samo, ja ale pouzivam sluzby systemoveho wrapperu -
takze potrebnou konfiguraci pisu do /etc/hosts.allow
A pak mam jeste patch do sshd, aby mi tyhle "nepovedene" pokusy vubec
nevypisoval ;-)
> mne to chodi denne do posty jako security output.
Jeste loni jsem je kazdy den poctive prochazil. I kdyz je dostavam z
nekolika desitek stroju. Ale priznavam, ze uz nekolik mesicu je
prochazim jen namatkove.
Zadny z automatickych analyzatoru se mi dostatecne nezalibil. Ukazalo
se, ze kdyz vypis necham maximalni rychlosti "sipky dolu" rolovat, ma
"normalni" log urcity pravidelny rytmus. Kazda odchylka od nej je misto,
ktere vyzaduje vetsi pozornost. Jde to takhle relativne rychle. Ale i
tak je to pro velky pocet stroju porad pomale. A nepochybne to navic
nebude vyhovovat kazdemu ...
> Dal bych prednost
> tomu, kdybych tam na prvni pohled videl to, ze se mi tam snazi dostat
> nekdo, od koho to nebezpeci realne muze hrozit = nekdo z vnitrni site.
> To, ze tam mam 170 kB hlasek, ze se mi tam snazi nalamat nejakej cinan,
> malajec nebo brazilec je mi stejne naprd :-(
No tak si ty zaznamy roztrid. Vytahat zaznamy, ktere obsahuji IP adresu
v urcitem tvaru NEBO jmeno v urcitem tvaru je GREPem trivialni uloha.
Rudolf Cejka napsal/wrote, On 12/10/08 11:55:
> Musim se ale priznat, ze jsem se na tuto situaci docela tesil, protoze
> ted jsem konecne zvedavy, jak budou reagovat ti, kteri berou bezpecnost
> jako svoje hlavni zamereni ;o)
Odhaduji, ze budou smerovat k omezeni toho, odkud se vubec prihlasovat
lze. Zvysi se podil mist, kde se neda prihlasit heslem, ale pouze klicem
nebo dokonce vyhradne za pouziti hardwaroveho tokenu. Zvysi se tlak na
uzivatele aby nepouzivali trivialni hesla.
No a ja uz dlouho uvazuju nad tim, ze mit system, kde pri prvnim zadani
je heslo vzdycky odmitnute a realne se testuje az druhy pokus ma z
ruznych duvodu taky neco do sebe ;-)
Dan
More information about the Users-l
mailing list