Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1161 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  [Centos]Modifier l'envoi des logs

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

[Centos]Modifier l'envoi des logs

n°1263713
seb06bes
Posté le 31-01-2011 à 11:41:29  profilanswer
 

Bonjour,
 
Je suis en train de configurer un fail2ban sur un serveur Centos 5. Il analyse les logs /var/log/secure.
 
Je souhaite bannir automatiquement les adresses IP qui ont échouées 2 tentatives au root.
 
Je fais mes tests avec Putty. Si à chaque tentative je ferme Putty et je le relance pour entrer un nouveau mot de passe erroné j’obtiens les logs suivants :
 

Code :
  1. sshd[2940]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=XXX.XXX.XXX.XXX  user=root
  2. sshd[2940]: Failed password for root from XXX.XXX.XXX.XXX port 55582 ssh2
  3. sshd[2941]: Connection closed by XXX.XXX.XXX.XXX
  4. sshd[2943]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= XXX.XXX.XXX.XXX  user=root
  5. sshd[2943]: Failed password for root from XXX.XXX.XXX.XXX port 55596 ssh2
  6. sshd[2944]: Connection closed by XXX.XXX.XXX.XXX


 
La ca fonctionne car il détecte 2 fois : Failed password for root from XXX.XXX.XXX.XXX port 55582 ssh2
 
Par contre si je ne ferme pas Putty et que je tente plusieurs password voici les logs que j'obtiens :
 

Code :
  1. sshd[3121]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= XXX.XXX.XXX.XXX  user=root
  2. sshd[3121]: Failed password for root from XXX.XXX.XXX.XXX port 55619 ssh2
  3. last message repeated 4 times


 
Et une fois que je ferme Putty, il s'ajoute cela à la suite des logs :
 

Code :
  1. sshd[3122]: Connection closed by XXX.XXX.XXX.XXX
  2. sshd[3121]: PAM 4 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=XXX.XXX.XXX.XXX  user=root
  3. sshd[3121]: PAM service(sshd) ignoring max retries; 5 > 3


 
Mon problème est ce qui apparaît dans les logs avant de fermé Putty : last message repeated 4 times
 
Je souhaite savoir s'il est possible de ne pas afficher ce message mais d'afficher successivement les messages d'erreurs afin d'obtenir des logs du genre :
 

Code :
  1. sshd[3121]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= XXX.XXX.XXX.XXX  user=root
  2. sshd[3121]: Failed password for root from XXX.XXX.XXX.XXX port 55619 ssh2
  3. sshd[3122]: Failed password for root from XXX.XXX.XXX.XXX port 55619 ssh2
  4. sshd[3123]: Failed password for root from XXX.XXX.XXX.XXX port 55619 ssh2


 
Cela me permettra de faire fonctionner mon fail2ban dans le cas ou la personne qui tente de se connecter à mon serveur ne relance pas putty à chaque fois.
 
Si vous avez des conseils ou des questions car je n'ai peut-être pas été très clair.
 
D'avance merci

mood
Publicité
Posté le 31-01-2011 à 11:41:29  profilanswer
 

n°1282248
andre2Nice
Posté le 17-06-2011 à 17:39:40  profilanswer
 

Salut,
 
J'ai exactement le même problème que toi.
As-tu trouvé ou eu la solution depuis ton post?
 
Si oui, peux-tu la partager?
 
Merci d'avance.
 
André.
 
 
 

seb06bes a écrit :

Bonjour,
 
Je suis en train de configurer un fail2ban sur un serveur Centos 5. Il analyse les logs /var/log/secure.
 
Je souhaite bannir automatiquement les adresses IP qui ont échouées 2 tentatives au root.
 
Je fais mes tests avec Putty. Si à chaque tentative je ferme Putty et je le relance pour entrer un nouveau mot de passe erroné j’obtiens les logs suivants :
 

Code :
  1. sshd[2940]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=XXX.XXX.XXX.XXX  user=root
  2. sshd[2940]: Failed password for root from XXX.XXX.XXX.XXX port 55582 ssh2
  3. sshd[2941]: Connection closed by XXX.XXX.XXX.XXX
  4. sshd[2943]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= XXX.XXX.XXX.XXX  user=root
  5. sshd[2943]: Failed password for root from XXX.XXX.XXX.XXX port 55596 ssh2
  6. sshd[2944]: Connection closed by XXX.XXX.XXX.XXX


 
La ca fonctionne car il détecte 2 fois : Failed password for root from XXX.XXX.XXX.XXX port 55582 ssh2
 
Par contre si je ne ferme pas Putty et que je tente plusieurs password voici les logs que j'obtiens :
 

Code :
  1. sshd[3121]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= XXX.XXX.XXX.XXX  user=root
  2. sshd[3121]: Failed password for root from XXX.XXX.XXX.XXX port 55619 ssh2
  3. last message repeated 4 times


 
Et une fois que je ferme Putty, il s'ajoute cela à la suite des logs :
 

Code :
  1. sshd[3122]: Connection closed by XXX.XXX.XXX.XXX
  2. sshd[3121]: PAM 4 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=XXX.XXX.XXX.XXX  user=root
  3. sshd[3121]: PAM service(sshd) ignoring max retries; 5 > 3


 
Mon problème est ce qui apparaît dans les logs avant de fermé Putty : last message repeated 4 times
 
Je souhaite savoir s'il est possible de ne pas afficher ce message mais d'afficher successivement les messages d'erreurs afin d'obtenir des logs du genre :
 

Code :
  1. sshd[3121]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= XXX.XXX.XXX.XXX  user=root
  2. sshd[3121]: Failed password for root from XXX.XXX.XXX.XXX port 55619 ssh2
  3. sshd[3122]: Failed password for root from XXX.XXX.XXX.XXX port 55619 ssh2
  4. sshd[3123]: Failed password for root from XXX.XXX.XXX.XXX port 55619 ssh2


 
Cela me permettra de faire fonctionner mon fail2ban dans le cas ou la personne qui tente de se connecter à mon serveur ne relance pas putty à chaque fois.
 
Si vous avez des conseils ou des questions car je n'ai peut-être pas été très clair.
 
D'avance merci



---------------
J'ai fini par acquérir durablement le sentiment de l'éphémère...

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  [Centos]Modifier l'envoi des logs

 

Sujets relatifs
CentOS sur VirtualBox ?CentOS + Serveur Cloud Dynamique
configurer rsyslog pour qu'il retransmette les logsdesactiver l'affichage de logs à l'écran
problème de collecte de logs iptablesmodifier drivers scanner open source
Modifier Grub 1.98 / menu.lst ne marche pascopier un fichier sans modifier sa date de creation
Configuration de BIND 9.3.6 sur CentOS release 5.4 (Final) ???[ubuntu] Problème envoi mail (DNS gandi)
Plus de sujets relatifs à : [Centos]Modifier l'envoi des logs


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR