Posté(e) le 2 mars 200718 a Salut Je voulais savoir s'il y a vait moyen de rendre mon LogWatch plus détaillé pour ce qui est des événements que je reçois lorsqu'une connexion FTP est refusée avec VSFTPD. J'utilise VSFTPD avec une authentification PAM vers MySQL et voici ce que ça donne dans le email journalier que Cron m'expédie: ################## LogWatch 2.6 Begin ##################### ---------------- Connections (secure-log) Begin ------------------- Connections: Service pop3: 192.168.0.50: 13 Time(s) **Unmatched Entries** vsftpd[17937]: pam_mysql - SELECT returned no result. vsftpd[17937]: pam_mysql - SELECT returned no result. vsftpd[17940]: pam_mysql - SELECT returned no result. vsftpd[17940]: pam_mysql - SELECT returned no result. vsftpd[18036]: pam_mysql - SELECT returned no result. vsftpd[18036]: pam_mysql - SELECT returned no result. vsftpd[18039]: pam_mysql - SELECT returned no result. vsftpd[18039]: pam_mysql - SELECT returned no result. ----------------- Connections (secure-log) End -------------------- ###################### LogWatch End ######################### On peut voir facilement que c'est une tentative de connexion avec un nom d'utilisateur ou mot de passe non valide... mais j'ai pas d'adresse IP, ni le nom d'utilisateur qui a été tenté, etc. (comme un peu avec SSH). Donc çe ne me permet pas de déterminer les sources pour ensuite renforcer ma sécurité (pas de suivi vraiment possible). Avez-vous un peu d'expertise sur le sujet qui pourrait m'aider ?
Posté(e) le 3 mars 200718 a # The default detail level for the report. # This can either be Low, Med, High or a number. # Low = 0 # Med = 5 # High = 10 Detail = Low dans /etc/logwatch/conf/logwatch.conf sous fedora Mais bon le plus simple c'est d'aller voir directement le log du serveur ftp.
Posté(e) le 4 mars 200718 a c'est parfois directement dans /usr/share/logwatch/default.conf/logwatch.conf
Posté(e) le 4 mars 200718 a Mais comme dit dans /etc/logwatch/conf/logwatch.conf : # Local configuration options go here (defaults are in /usr/share/logwatch/default.conf/logwatch.conf) La première fois que j'ai voulu modifier ces paramètres, j'ai l'ai fait dans le fichier default, et à la première mise à jour de logwatch, pfuit envolé
Posté(e) le 5 mars 200718 a Auteur Mais bon le plus simple c'est d'aller voir directement le log du serveur ftp Dans ma situation non. Le serveur est distant en Linux et mon poste client régulier est en Windows, je reçois les LogWatch de mes serveurs par email à tous les matins, c'est plus facile comme ça pour faire le suivi de la gestion. Je vais changer le niveau de verbosité du Log et je redonne des nouvelles !
Posté(e) le 5 mars 200718 a j'ai testé en medium, pas mal ça fait déjà beaucoup de renseignements (par exemple tous les users et passwords tentés via SSH)
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.