Nekonecne dlouhy auth.log

Dan Lukes dan at obluda.cz
Wed Dec 10 15:46:45 CET 2008


Zbyněk Burget napsal/wrote, On 12/10/08 12:23:
>> proste nedovoluju prihlaseni z IP, ktera nema platny PTR zaznam. Cimz, 
>> mimochodem, nemam problem se zaznamy ve dvou formatech.

> Tohohle jsem jednou chtel docilit, ale nejak se mi to nepovedlo

Mozna to umi i SSHD samo, ja ale pouzivam sluzby systemoveho wrapperu - 
takze potrebnou konfiguraci pisu do /etc/hosts.allow

A pak mam jeste patch do sshd, aby mi tyhle "nepovedene" pokusy vubec 
nevypisoval ;-)

> mne to chodi denne do posty jako security output.

Jeste loni jsem je kazdy den poctive prochazil. I kdyz je dostavam z 
nekolika desitek stroju. Ale priznavam, ze uz nekolik mesicu je 
prochazim jen namatkove.

Zadny z automatickych analyzatoru se mi dostatecne nezalibil. Ukazalo 
se, ze kdyz vypis necham maximalni rychlosti "sipky dolu" rolovat, ma 
"normalni" log urcity pravidelny rytmus. Kazda odchylka od nej je misto, 
ktere vyzaduje vetsi pozornost. Jde to takhle relativne rychle. Ale i 
tak je to pro velky pocet stroju porad pomale. A nepochybne to navic 
nebude vyhovovat kazdemu ...

> Dal bych prednost 
> tomu, kdybych tam na prvni pohled videl to, ze se mi tam snazi dostat 
> nekdo, od koho to nebezpeci realne muze hrozit = nekdo z vnitrni site. 
> To, ze tam mam 170 kB hlasek, ze se mi tam snazi nalamat nejakej cinan, 
> malajec nebo brazilec je mi stejne naprd :-(

No tak si ty zaznamy roztrid. Vytahat zaznamy, ktere obsahuji IP adresu 
v urcitem tvaru NEBO jmeno v urcitem tvaru je GREPem trivialni uloha.

Rudolf Cejka napsal/wrote, On 12/10/08 11:55:
> Musim se ale priznat, ze jsem se na tuto situaci docela tesil, protoze
> ted jsem konecne zvedavy, jak budou reagovat ti, kteri berou bezpecnost
> jako svoje hlavni zamereni ;o)

Odhaduji, ze budou smerovat k omezeni toho, odkud se vubec prihlasovat 
lze. Zvysi se podil mist, kde se neda prihlasit heslem, ale pouze klicem 
nebo dokonce vyhradne za pouziti hardwaroveho tokenu. Zvysi se tlak na 
uzivatele aby nepouzivali trivialni hesla.

No a ja uz dlouho uvazuju nad tim, ze mit system, kde pri prvnim zadani 
je heslo vzdycky odmitnute a realne se testuje az druhy pokus ma z 
ruznych duvodu taky neco do sebe ;-)


						Dan




More information about the Users-l mailing list