Nekonecne dlouhy auth.log

Dan Lukes dan at obluda.cz
Wed Dec 10 10:52:17 CET 2008


Zbyněk Burget napsal/wrote, On 12/10/08 10:31:
> V posledni dobe se ale deje horsi vec, kdy nejaky stroj vyrobi jeden 
> pokus (na vsechny servery) a pak da treba pul dne pokoj. A pak zase 
> jeden pokus. Problem je, ze tech stroju jsou kvanta a pokusy o 
> prihlaseni se objevuji v prumeru jednou za 4 min.

Jo, tomu se rika distribuovany utok. To se, skutecne, uz delsi dobu 
deje. S tim nic nenadelas.

> Dec 10 10:14:54 ftp sshd[50156]: error: PAM: authentication error for 
> illegal user lani from 58.39.145.213
> Dec 10 10:14:54 mail sshd[50159]: error: PAM: authentication error for 
> illegal user lani from 81-208-90-63.ip.fastwebne.it

> Takze - nevite nekdo, kterak donutit sshd resp. PAM (netusim, kdo z nich 
> ma obsah uvedeneho radku na svedomi), aby do logu vypisoval IP adresu a 
> ne domenove jmeno?

To pise PAM subsystem.

> Co pouzivate na obranu pred temito utoky? Nemam strach, ze by se mi 
> nekdo do stroje nalamal, jen mne se**u ty nekonecne dlouhe logy.

Heslo, o kterem si myslim, ze ho nebude tak snadne uhadnout. No a pak 
proste nedovoluju prihlaseni z IP, ktera nema platny PTR zaznam. Cimz, 
mimochodem, nemam problem se zaznamy ve dvou formatech.

Jestli mi chcete rict, ze pak se na stroj nemuzu prihlasit kdyz 
nefunguje DNS tak pravda, ano. Na tom mam nakonfigurovany INETD aby na 
jinem portu spoustel jine SSH, ktere mohou pouzit jen uzivatele skupiny 
WHEEL, bez kontroly na reverz. Resi to soucasne situaci, kdy standalone 
sshd z jakehokoliv duvodu havaruje ...

Dlouhe LOGy me uz nestvou davno. A maillog je stejne daleko vetsi. Kdyz 
v nich hledam neco konkretniho, GREP mi je zkrati.

						Dan





More information about the Users-l mailing list