syslog : messages et auth.log

Le
xavier
Bonjour,

Titillé par la grosse attaque de botnets ssh ces jours-ci et curieux de
voir pourquoi mes FreeBSD 7 ne m'envoient pas deux pages de 'refused
connections' comme le font les FreeBSD 6, j'ai été vérifier : les lignes
| Apr 8 17:52:43 orthanc sshd[22857]: refused connect from .
qui se trouvent bien dans /var/log/messages en FreeBSD 6, ne se trouvent
*que* dans /var/log/auth.log en FreeBSD 7, si bien que le script
/etc/periodic/security/900.tcpwrap ne fait *rien*

J'ai vérifié les syslogd.conf, ils sont identiques entre les deux
versions.

C'est moi qui yoyote, ou ça mérite un PR ?

Merci,

--
Xav
Disponible au 1/9/2009
<http://www.xavierhumbert.net/perso/CV2.html>
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
xavier
Le #19198251
Je disais l'autre jour :

Titillé par la grosse attaque de botnets ssh ces jours-ci et curieux de
voir pourquoi mes FreeBSD 7 ne m'envoient pas deux pages de 'refused
connections' comme le font les FreeBSD 6, j'ai été vérifier : les lignes
| Apr 8 17:52:43 orthanc sshd[22857]: refused connect from ....
qui se trouvent bien dans /var/log/messages en FreeBSD 6, ne se trouvent
*que* dans /var/log/auth.log en FreeBSD 7, si bien que le script
/etc/periodic/security/ne fait *rien*

J'ai vérifié les syslogd.conf, ils sont identiques entre les deux
versions.

C'est moi qui yoyote, ou ça mérite un PR ?



Ca n'inspire personne ? Je modifie sauvagement 900.tcpwrap ?

Merci,

--
XAv
Disponible au 1/9/2009
Patrick Lamaizière
Le #19198831
Xavier :

Titillé par la grosse attaque de botnets ssh ces jours-ci et curieux de
voir pourquoi mes FreeBSD 7 ne m'envoient pas deux pages de 'refused
connections' comme le font les FreeBSD 6, j'ai été vérifier : les lignes
| Apr 8 17:52:43 orthanc sshd[22857]: refused connect from ....
qui se trouvent bien dans /var/log/messages en FreeBSD 6, ne se trouvent
*que* dans /var/log/auth.log en FreeBSD 7, si bien que le script
/etc/periodic/security/ne fait *rien*

J'ai vérifié les syslogd.conf, ils sont identiques entre les deux
versions.

C'est moi qui yoyote, ou ça mérite un PR ?



Ca n'inspire personne ? Je modifie sauvagement 900.tcpwrap ?



J'ai pas essayé mais d'après les sources sshd par défaut devrait loguer
les refus par tcpwrap dans auth.warning. Ce qui chez moi produit bien
un log dans log/messages et dans auth.log

Ça peut être changé par SysLogFacility dans sshd_config ou dans
hosts.allow par "severity".

Si tu mets moins que "notice" en priorité ça ne sera pas logué dans
log/messages.
Patrick Lamaizière
Le #19199091
Patrick Lamaizière :

J'ai pas essayé mais d'après les sources sshd par défaut devrait loguer
les refus par tcpwrap dans auth.warning.



Je viens d'essayer et bah non ça ne marche pas.

Ça peut être changé par SysLogFacility dans sshd_config ou dans
hosts.allow par "severity".



Ça fonctionne en spécifiant une severity auth.warning.
xavier
Le #19204001
Patrick Lamaizière
Je viens d'essayer et bah non ça ne marche pas.



Ben non, et c'est bien là mon problème. Une conf *standard* (sshd.conf,
syslogd.conf, hosts.allow) dez FreeBSD 7 n'envoie pas les refus dans
/var/log/messages, alors que c'est là que les attend 900.tcpwrap...

Conclusion, on change la conf, ou on change les script 900.tcpwrap

--
Xav
Disponible au 1/9/2009
Publicité
Poster une réponse
Anonyme