ggbce Posté(e) le 2 mars 2007 Partager Posté(e) le 2 mars 2007 Salut Je voulais savoir s'il y a vait moyen de rendre mon LogWatch plus détaillé pour ce qui est des événements que je reçois lorsqu'une connexion FTP est refusée avec VSFTPD. J'utilise VSFTPD avec une authentification PAM vers MySQL et voici ce que ça donne dans le email journalier que Cron m'expédie: ################## LogWatch 2.6 Begin ##################### ---------------- Connections (secure-log) Begin ------------------- Connections: Service pop3: 192.168.0.50: 13 Time(s) **Unmatched Entries** vsftpd[17937]: pam_mysql - SELECT returned no result. vsftpd[17937]: pam_mysql - SELECT returned no result. vsftpd[17940]: pam_mysql - SELECT returned no result. vsftpd[17940]: pam_mysql - SELECT returned no result. vsftpd[18036]: pam_mysql - SELECT returned no result. vsftpd[18036]: pam_mysql - SELECT returned no result. vsftpd[18039]: pam_mysql - SELECT returned no result. vsftpd[18039]: pam_mysql - SELECT returned no result. ----------------- Connections (secure-log) End -------------------- ###################### LogWatch End ######################### On peut voir facilement que c'est une tentative de connexion avec un nom d'utilisateur ou mot de passe non valide... mais j'ai pas d'adresse IP, ni le nom d'utilisateur qui a été tenté, etc. (comme un peu avec SSH). Donc çe ne me permet pas de déterminer les sources pour ensuite renforcer ma sécurité (pas de suivi vraiment possible). Avez-vous un peu d'expertise sur le sujet qui pourrait m'aider ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
paulez Posté(e) le 3 mars 2007 Partager Posté(e) le 3 mars 2007 # The default detail level for the report. # This can either be Low, Med, High or a number. # Low = 0 # Med = 5 # High = 10 Detail = Low dans /etc/logwatch/conf/logwatch.conf sous fedora Mais bon le plus simple c'est d'aller voir directement le log du serveur ftp. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Amour Posté(e) le 4 mars 2007 Partager Posté(e) le 4 mars 2007 c'est parfois directement dans /usr/share/logwatch/default.conf/logwatch.conf Lien vers le commentaire Partager sur d’autres sites More sharing options...
paulez Posté(e) le 4 mars 2007 Partager Posté(e) le 4 mars 2007 Mais comme dit dans /etc/logwatch/conf/logwatch.conf : # Local configuration options go here (defaults are in /usr/share/logwatch/default.conf/logwatch.conf) La première fois que j'ai voulu modifier ces paramètres, j'ai l'ai fait dans le fichier default, et à la première mise à jour de logwatch, pfuit envolé Lien vers le commentaire Partager sur d’autres sites More sharing options...
Amour Posté(e) le 4 mars 2007 Partager Posté(e) le 4 mars 2007 ah d'accord bon à savoir, merci Lien vers le commentaire Partager sur d’autres sites More sharing options...
ggbce Posté(e) le 5 mars 2007 Auteur Partager Posté(e) le 5 mars 2007 Mais bon le plus simple c'est d'aller voir directement le log du serveur ftp Dans ma situation non. Le serveur est distant en Linux et mon poste client régulier est en Windows, je reçois les LogWatch de mes serveurs par email à tous les matins, c'est plus facile comme ça pour faire le suivi de la gestion. Je vais changer le niveau de verbosité du Log et je redonne des nouvelles ! Lien vers le commentaire Partager sur d’autres sites More sharing options...
Amour Posté(e) le 5 mars 2007 Partager Posté(e) le 5 mars 2007 j'ai testé en medium, pas mal ça fait déjà beaucoup de renseignements (par exemple tous les users et passwords tentés via SSH) Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.