ggbce Posted March 2, 2007 Share Posted March 2, 2007 Salut Je voulais savoir s'il y a vait moyen de rendre mon LogWatch plus détaillé pour ce qui est des événements que je reçois lorsqu'une connexion FTP est refusée avec VSFTPD. J'utilise VSFTPD avec une authentification PAM vers MySQL et voici ce que ça donne dans le email journalier que Cron m'expédie: ################## LogWatch 2.6 Begin ##################### ---------------- Connections (secure-log) Begin ------------------- Connections: Service pop3: 192.168.0.50: 13 Time(s) **Unmatched Entries** vsftpd[17937]: pam_mysql - SELECT returned no result. vsftpd[17937]: pam_mysql - SELECT returned no result. vsftpd[17940]: pam_mysql - SELECT returned no result. vsftpd[17940]: pam_mysql - SELECT returned no result. vsftpd[18036]: pam_mysql - SELECT returned no result. vsftpd[18036]: pam_mysql - SELECT returned no result. vsftpd[18039]: pam_mysql - SELECT returned no result. vsftpd[18039]: pam_mysql - SELECT returned no result. ----------------- Connections (secure-log) End -------------------- ###################### LogWatch End ######################### On peut voir facilement que c'est une tentative de connexion avec un nom d'utilisateur ou mot de passe non valide... mais j'ai pas d'adresse IP, ni le nom d'utilisateur qui a été tenté, etc. (comme un peu avec SSH). Donc çe ne me permet pas de déterminer les sources pour ensuite renforcer ma sécurité (pas de suivi vraiment possible). Avez-vous un peu d'expertise sur le sujet qui pourrait m'aider ? Link to comment Share on other sites More sharing options...
paulez Posted March 3, 2007 Share Posted March 3, 2007 # The default detail level for the report. # This can either be Low, Med, High or a number. # Low = 0 # Med = 5 # High = 10 Detail = Low dans /etc/logwatch/conf/logwatch.conf sous fedora Mais bon le plus simple c'est d'aller voir directement le log du serveur ftp. Link to comment Share on other sites More sharing options...
Amour Posted March 4, 2007 Share Posted March 4, 2007 c'est parfois directement dans /usr/share/logwatch/default.conf/logwatch.conf Link to comment Share on other sites More sharing options...
paulez Posted March 4, 2007 Share Posted March 4, 2007 Mais comme dit dans /etc/logwatch/conf/logwatch.conf : # Local configuration options go here (defaults are in /usr/share/logwatch/default.conf/logwatch.conf) La première fois que j'ai voulu modifier ces paramètres, j'ai l'ai fait dans le fichier default, et à la première mise à jour de logwatch, pfuit envolé Link to comment Share on other sites More sharing options...
Amour Posted March 4, 2007 Share Posted March 4, 2007 ah d'accord bon à savoir, merci Link to comment Share on other sites More sharing options...
ggbce Posted March 5, 2007 Author Share Posted March 5, 2007 Mais bon le plus simple c'est d'aller voir directement le log du serveur ftp Dans ma situation non. Le serveur est distant en Linux et mon poste client régulier est en Windows, je reçois les LogWatch de mes serveurs par email à tous les matins, c'est plus facile comme ça pour faire le suivi de la gestion. Je vais changer le niveau de verbosité du Log et je redonne des nouvelles ! Link to comment Share on other sites More sharing options...
Amour Posted March 5, 2007 Share Posted March 5, 2007 j'ai testé en medium, pas mal ça fait déjà beaucoup de renseignements (par exemple tous les users et passwords tentés via SSH) Link to comment Share on other sites More sharing options...
Recommended Posts
Archived
This topic is now archived and is closed to further replies.