Ciao a tutti, scrivo per sapere se avete qualche link per capire i file di log generati, di alcuni ne comprendo il significato ma di altri no.
In questo momento stavo studiandomi il file /var/log/auth.log che se non ho capito male dovrebbe essere quello per le autorizzazioni sulla macchina.
In pratica utilizzo la macchina da remoto tramite ssh e volevo capire come faccio a vedere se qualche intruso cerca di loggarsi ad essa.

Posto un estratto del file:


Dec 11 06:25:02 serverbuglis su[3306]: Successful su for www-data by root
Dec 11 06:25:02 serverbuglis su[3306]: + ??? root:www-data
Dec 11 06:25:02 serverbuglis su[3306]: pam_unix(su:session): session opened for user www-data by (uid=0)
Dec 11 06:25:02 serverbuglis su[3306]: pam_unix(su:session): session closed for user www-data
Dec 11 06:25:02 serverbuglis su[3310]: Successful su for www-data by root
Dec 11 06:25:02 serverbuglis su[3310]: + ??? root:www-data
Dec 11 06:25:02 serverbuglis su[3310]: pam_unix(su:session): session opened for user www-data by (uid=0)
Dec 11 06:25:02 serverbuglis su[3310]: pam_unix(su:session): session closed for user www-data
Dec 11 06:25:04 serverbuglis CRON[3286]: pam_unix(cron:session): session closed for user root
Dec 11 06:39:01 serverbuglis CRON[3407]: pam_unix(cron:session): session opened for user root by (uid=0)
Dec 11 06:39:01 serverbuglis CRON[3407]: pam_unix(cron:session): session closed for user root
Dec 11 07:09:01 serverbuglis CRON[3428]: pam_unix(cron:session): session opened for user root by (uid=0)
Dec 11 07:09:01 serverbuglis CRON[3428]: pam_unix(cron:session): session closed for user root
Dec 11 07:17:01 serverbuglis CRON[3442]: pam_unix(cron:session): session opened for user root by (uid=0)
Dec 11 07:17:01 serverbuglis CRON[3442]: pam_unix(cron:session): session closed for user root
Dec 11 07:39:01 serverbuglis CRON[3452]: pam_unix(cron:session): session opened for user root by (uid=0)
Dec 11 07:39:01 serverbuglis CRON[3452]: pam_unix(cron:session): session closed for user root
Dec 11 08:09:01 serverbuglis CRON[3476]: pam_unix(cron:session): session opened for user root by (uid=0)
Dec 11 08:09:01 serverbuglis CRON[3476]: pam_unix(cron:session): session closed for user root
Dec 11 08:17:01 serverbuglis CRON[3488]: pam_unix(cron:session): session opened for user root by (uid=0)
Dec 11 08:17:01 serverbuglis CRON[3488]: pam_unix(cron:session): session closed for user root
Dec 11 08:39:01 serverbuglis CRON[3492]: pam_unix(cron:session): session opened for user root by (uid=0)
Dec 11 08:39:01 serverbuglis CRON[3492]: pam_unix(cron:session): session closed for user root
Dec 11 09:09:01 serverbuglis CRON[3503]: pam_unix(cron:session): session opened for user root by (uid=0)
Dec 11 09:09:01 serverbuglis CRON[3503]: pam_unix(cron:session): session closed for user root
Dec 11 09:17:01 serverbuglis CRON[3513]: pam_unix(cron:session): session opened for user root by (uid=0)
Dec 11 09:17:01 serverbuglis CRON[3513]: pam_unix(cron:session): session closed for user root
Dec 11 09:39:01 serverbuglis CRON[3517]: pam_unix(cron:session): session opened for user root by (uid=0)
Dec 11 09:39:01 serverbuglis CRON[3517]: pam_unix(cron:session): session closed for user root
Dec 11 09:49:05 serverbuglis sshd[3528]: Accepted password for samu from 194.146.114.75 port 33938 ssh2
Dec 11 09:49:05 serverbuglis sshd[3528]: pam_unix(sshd:session): session opened for user samu by (uid=0)
Dec 11 09:49:14 serverbuglis su[3550]: Successful su for root by samu
Dec 11 09:49:14 serverbuglis su[3550]: + pts/2 samu:root
Dec 11 09:49:15 serverbuglis su[3550]: pam_unix(su:session): session opened for user root by samu(uid=1000)
Dec 11 10:00:24 serverbuglis su[3550]: pam_unix(su:session): session closed for user root
Dec 11 10:00:33 serverbuglis su[3709]: pam_unix(su:auth): authentication failure; logname=samu uid=1000 euid=0 tty=pts/2 rus$
Dec 11 10:00:35 serverbuglis su[3709]: pam_authenticate: Authentication failure
Dec 11 10:00:35 serverbuglis su[3709]: FAILED su for root by samu
Dec 11 10:00:35 serverbuglis su[3709]: - pts/2 samu:root
Dec 11 10:00:41 serverbuglis su[3710]: Successful su for root by samu
Dec 11 10:00:41 serverbuglis su[3710]: + pts/2 samu:root
Dec 11 10:00:41 serverbuglis su[3710]: pam_unix(su:session): session opened for user root by samu(uid=1000)
Dec 11 10:09:01 serverbuglis CRON[3713]: pam_unix(cron:session): session opened for user root by (uid=0)
Dec 11 10:09:01 serverbuglis CRON[3713]: pam_unix(cron:session): session closed for user root


più che altro mi insospettisce quel Successful su for www-data by root oppure è una cosa normale?

grazie
ciao :)

Quel successful su e' relativo al fatto che l'utente root avvia il server/servizio www e successivamente diventa utente non privilegiato.

quindi niente di allarmante giusto?

devo iniziare a preoccuparmi se vedo IP che non conosco che tentato il log?

Ti potrebbe tornare utile Logcheck (http://logcheck.org/)

Ti potrebbe tornare utile Logcheck (http://logcheck.org/)

fantastico, ero anche in cerca di qualcosa del genere, grazie!:)

quindi niente di allarmante giusto?

devo iniziare a preoccuparmi se vedo IP che non conosco che tentato il log?Dipende dal servizio relativo a quegli IP, se e' un web server e' cosa normale, se e' un server sshd comincerei a preoccuparmi.
Logcheck analizza un determinato file di log e ti manda tramite e-mail il resoconto (una specie di copia-incolla) a cadenze regolari, io me lo faccio mandare ogni ora.
Tuttavia, per maggiore selettivita' ti consiglio caldamente swatch, che puoi personalizzare affinche' ti mandi notifiche solo su certi messaggi di log, il tutto in tempo reale. Ad esempio, io l'ho configurato per farmi mandare notifiche ogni volta che un utente sbaglia un 'su', ogni volta che viene accettata una connessione in ingresso e ogni volta che viene instaurato un collegamento VPN. Dulcis in fundo, se hai un server di posta (a cui puoi impedire l'accesso da fuori) puoi configurare swatch affinche' mandi e-mail anche ad indiirizzi esterni, cosi' se tizio cerca di entrarti in ssh sul computer di casa e tu sei in ufficio, tempo 30 secondi e ne sei al corrente.

Grazie a tutti ragazzi, gentilissimi e utilissimi come sempre.

Tuttavia, per maggiore selettivita' ti consiglio caldamente swatch, che puoi personalizzare affinche' ti mandi notifiche solo su certi messaggi di log, il tutto in tempo reale. Ad esempio, io l'ho configurato per farmi mandare notifiche ogni volta che un utente sbaglia un 'su', ogni volta che viene accettata una connessione in ingresso e ogni volta che viene instaurato un collegamento VPN. Dulcis in fundo, se hai un server di posta (a cui puoi impedire l'accesso da fuori) puoi configurare swatch affinche' mandi e-mail anche ad indiirizzi esterni, cosi' se tizio cerca di entrarti in ssh sul computer di casa e tu sei in ufficio, tempo 30 secondi e ne sei al corrente.

E' esattamente quello che faccio anche io, però con logcheck