Titillé par la grosse attaque de botnets ssh ces jours-ci et curieux de
voir pourquoi mes FreeBSD 7 ne m'envoient pas deux pages de 'refused
connections' comme le font les FreeBSD 6, j'ai été vérifier : les lignes
| Apr 8 17:52:43 orthanc sshd[22857]: refused connect from ....
qui se trouvent bien dans /var/log/messages en FreeBSD 6, ne se trouvent
*que* dans /var/log/auth.log en FreeBSD 7, si bien que le script
/etc/periodic/security/900.tcpwrap ne fait *rien*
J'ai vérifié les syslogd.conf, ils sont identiques entre les deux
versions.
C'est moi qui yoyote, ou ça mérite un PR ?
Merci,
--
Xav
Disponible au 1/9/2009
<http://www.xavierhumbert.net/perso/CV2.html>
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
xavier
Je disais l'autre jour :
Titillé par la grosse attaque de botnets ssh ces jours-ci et curieux de voir pourquoi mes FreeBSD 7 ne m'envoient pas deux pages de 'refused connections' comme le font les FreeBSD 6, j'ai été vérifier : les lignes | Apr 8 17:52:43 orthanc sshd[22857]: refused connect from .... qui se trouvent bien dans /var/log/messages en FreeBSD 6, ne se trouvent *que* dans /var/log/auth.log en FreeBSD 7, si bien que le script /etc/periodic/security/ne fait *rien*
J'ai vérifié les syslogd.conf, ils sont identiques entre les deux versions.
C'est moi qui yoyote, ou ça mérite un PR ?
Ca n'inspire personne ? Je modifie sauvagement 900.tcpwrap ?
Merci,
-- XAv Disponible au 1/9/2009 <http://www.xavierhumbert.net/perso/CV2.html>
Je disais l'autre jour :
Titillé par la grosse attaque de botnets ssh ces jours-ci et curieux de
voir pourquoi mes FreeBSD 7 ne m'envoient pas deux pages de 'refused
connections' comme le font les FreeBSD 6, j'ai été vérifier : les lignes
| Apr 8 17:52:43 orthanc sshd[22857]: refused connect from ....
qui se trouvent bien dans /var/log/messages en FreeBSD 6, ne se trouvent
*que* dans /var/log/auth.log en FreeBSD 7, si bien que le script
/etc/periodic/security/ne fait *rien*
J'ai vérifié les syslogd.conf, ils sont identiques entre les deux
versions.
C'est moi qui yoyote, ou ça mérite un PR ?
Ca n'inspire personne ? Je modifie sauvagement 900.tcpwrap ?
Merci,
--
XAv
Disponible au 1/9/2009
<http://www.xavierhumbert.net/perso/CV2.html>
Titillé par la grosse attaque de botnets ssh ces jours-ci et curieux de voir pourquoi mes FreeBSD 7 ne m'envoient pas deux pages de 'refused connections' comme le font les FreeBSD 6, j'ai été vérifier : les lignes | Apr 8 17:52:43 orthanc sshd[22857]: refused connect from .... qui se trouvent bien dans /var/log/messages en FreeBSD 6, ne se trouvent *que* dans /var/log/auth.log en FreeBSD 7, si bien que le script /etc/periodic/security/ne fait *rien*
J'ai vérifié les syslogd.conf, ils sont identiques entre les deux versions.
C'est moi qui yoyote, ou ça mérite un PR ?
Ca n'inspire personne ? Je modifie sauvagement 900.tcpwrap ?
Merci,
-- XAv Disponible au 1/9/2009 <http://www.xavierhumbert.net/perso/CV2.html>
Patrick Lamaizière
Xavier :
Titillé par la grosse attaque de botnets ssh ces jours-ci et curieux de voir pourquoi mes FreeBSD 7 ne m'envoient pas deux pages de 'refused connections' comme le font les FreeBSD 6, j'ai été vérifier : les lignes | Apr 8 17:52:43 orthanc sshd[22857]: refused connect from .... qui se trouvent bien dans /var/log/messages en FreeBSD 6, ne se trouvent *que* dans /var/log/auth.log en FreeBSD 7, si bien que le script /etc/periodic/security/ne fait *rien*
J'ai vérifié les syslogd.conf, ils sont identiques entre les deux versions.
C'est moi qui yoyote, ou ça mérite un PR ?
Ca n'inspire personne ? Je modifie sauvagement 900.tcpwrap ?
J'ai pas essayé mais d'après les sources sshd par défaut devrait loguer les refus par tcpwrap dans auth.warning. Ce qui chez moi produit bien un log dans log/messages et dans auth.log
Ça peut être changé par SysLogFacility dans sshd_config ou dans hosts.allow par "severity".
Si tu mets moins que "notice" en priorité ça ne sera pas logué dans log/messages.
Xavier :
Titillé par la grosse attaque de botnets ssh ces jours-ci et curieux de
voir pourquoi mes FreeBSD 7 ne m'envoient pas deux pages de 'refused
connections' comme le font les FreeBSD 6, j'ai été vérifier : les lignes
| Apr 8 17:52:43 orthanc sshd[22857]: refused connect from ....
qui se trouvent bien dans /var/log/messages en FreeBSD 6, ne se trouvent
*que* dans /var/log/auth.log en FreeBSD 7, si bien que le script
/etc/periodic/security/ne fait *rien*
J'ai vérifié les syslogd.conf, ils sont identiques entre les deux
versions.
C'est moi qui yoyote, ou ça mérite un PR ?
Ca n'inspire personne ? Je modifie sauvagement 900.tcpwrap ?
J'ai pas essayé mais d'après les sources sshd par défaut devrait loguer
les refus par tcpwrap dans auth.warning. Ce qui chez moi produit bien
un log dans log/messages et dans auth.log
Ça peut être changé par SysLogFacility dans sshd_config ou dans
hosts.allow par "severity".
Si tu mets moins que "notice" en priorité ça ne sera pas logué dans
log/messages.
Titillé par la grosse attaque de botnets ssh ces jours-ci et curieux de voir pourquoi mes FreeBSD 7 ne m'envoient pas deux pages de 'refused connections' comme le font les FreeBSD 6, j'ai été vérifier : les lignes | Apr 8 17:52:43 orthanc sshd[22857]: refused connect from .... qui se trouvent bien dans /var/log/messages en FreeBSD 6, ne se trouvent *que* dans /var/log/auth.log en FreeBSD 7, si bien que le script /etc/periodic/security/ne fait *rien*
J'ai vérifié les syslogd.conf, ils sont identiques entre les deux versions.
C'est moi qui yoyote, ou ça mérite un PR ?
Ca n'inspire personne ? Je modifie sauvagement 900.tcpwrap ?
J'ai pas essayé mais d'après les sources sshd par défaut devrait loguer les refus par tcpwrap dans auth.warning. Ce qui chez moi produit bien un log dans log/messages et dans auth.log
Ça peut être changé par SysLogFacility dans sshd_config ou dans hosts.allow par "severity".
Si tu mets moins que "notice" en priorité ça ne sera pas logué dans log/messages.
Patrick Lamaizière
Patrick Lamaizière :
J'ai pas essayé mais d'après les sources sshd par défaut devrait loguer les refus par tcpwrap dans auth.warning.
Je viens d'essayer et bah non ça ne marche pas.
Ça peut être changé par SysLogFacility dans sshd_config ou dans hosts.allow par "severity".
Ça fonctionne en spécifiant une severity auth.warning.
Patrick Lamaizière :
J'ai pas essayé mais d'après les sources sshd par défaut devrait loguer
les refus par tcpwrap dans auth.warning.
Je viens d'essayer et bah non ça ne marche pas.
Ça peut être changé par SysLogFacility dans sshd_config ou dans
hosts.allow par "severity".
Ça fonctionne en spécifiant une severity auth.warning.
J'ai pas essayé mais d'après les sources sshd par défaut devrait loguer les refus par tcpwrap dans auth.warning.
Je viens d'essayer et bah non ça ne marche pas.
Ça peut être changé par SysLogFacility dans sshd_config ou dans hosts.allow par "severity".
Ça fonctionne en spécifiant une severity auth.warning.
xavier
Patrick Lamaizière wrote:
Je viens d'essayer et bah non ça ne marche pas.
Ben non, et c'est bien là mon problème. Une conf *standard* (sshd.conf, syslogd.conf, hosts.allow) dez FreeBSD 7 n'envoie pas les refus dans /var/log/messages, alors que c'est là que les attend 900.tcpwrap...
Conclusion, on change la conf, ou on change les script 900.tcpwrap
-- Xav Disponible au 1/9/2009 <http://www.xavierhumbert.net/perso/CV2.html>
Patrick Lamaizière <adresse@est.invalid> wrote:
Je viens d'essayer et bah non ça ne marche pas.
Ben non, et c'est bien là mon problème. Une conf *standard* (sshd.conf,
syslogd.conf, hosts.allow) dez FreeBSD 7 n'envoie pas les refus dans
/var/log/messages, alors que c'est là que les attend 900.tcpwrap...
Conclusion, on change la conf, ou on change les script 900.tcpwrap
--
Xav
Disponible au 1/9/2009
<http://www.xavierhumbert.net/perso/CV2.html>
Ben non, et c'est bien là mon problème. Une conf *standard* (sshd.conf, syslogd.conf, hosts.allow) dez FreeBSD 7 n'envoie pas les refus dans /var/log/messages, alors que c'est là que les attend 900.tcpwrap...
Conclusion, on change la conf, ou on change les script 900.tcpwrap
-- Xav Disponible au 1/9/2009 <http://www.xavierhumbert.net/perso/CV2.html>