In che log trovo gli accessi al mio pc?

[Ikar]

Ciao a tutti...
Vorrei vedere i tentativi di accesso da remoto al mio computer... In che log dovrei guardare? grazie

[mic.ele]

cerca nella cartella /var/log

[W.S.]

Quote:

Originariamente inviato da mic.ele

cerca nella cartella /var/log

In particolare in /var/log/auth.log per quanto riguarda gli accessi autenticati o tentativi di accessi tramite autenticazione (ssh, login, etc)

Per accessi non autenticati tramite altre vie (es. servizi vulnerabili) vanno controllati i log relativi ai servizi. Spesso in caso di attacco in kernel-land (es rootkit) è possibile che si trovi qualcosa di strano in kern.log.

Se vuoi tenere d'occhio tutti gli attacchi in modo centralizzato (e più preciso) potresti installare un IDS (snort).

[Ikar]

Non mi sembra di avere il file auth.log....

[mic.ele]

vuol dire che non hai avuto accessi / tentativi di accesso tramite autorizzazione.

Un accesso pero' puo' avvenire anche tramite altre vie. se hai un servizio attivo devi controllare il log di quel particolare servizio (come ti ha detto W.S.)

[Ikar]

ma mi sono connesso già un paio di volte via ssh... quindi gli accessi ci sono stati...

[W.S.]

Non c'è proprio il file??

Verifica il contenuto di /etc/syslog.conf
(man syslog.conf per info dettagliate)

[HexDEF6]

Quote:

Originariamente inviato da W.S.

In particolare in /var/log/auth.log per quanto riguarda gli accessi autenticati o tentativi di accessi tramite autenticazione (ssh, login, etc)

Per accessi non autenticati tramite altre vie (es. servizi vulnerabili) vanno controllati i log relativi ai servizi. Spesso in caso di attacco in kernel-land (es rootkit) è possibile che si trovi qualcosa di strano in kern.log.

Se vuoi tenere d'occhio tutti gli attacchi in modo centralizzato (e più preciso) potresti installare un IDS (snort).

i log si trovano in posti diversi in base alla configurazione e a che logger si usa...
Con syslog-ng mi sono fatto le cartelle con i log divisi ogni mese, in cui ho ficcato un auth.log auth_err.log ssh_auth.log e ssh_auth_err.log...

Il consiglio di installare un IDS per tenere d'occhio gli attacchi, direi che e' una mezza cavolata (ehi senza offesa eh!)... visto che per riuscire a configurare snort (e tener le regole aggiornate) diciamo che non e' a portata di tutti, inoltre il fine-tuning di snort e' una delle cose che porta via tanto di quel tempo da far spavento, almeno che uno non si accontenti di vedere 10000 tra "attacchi" e falsi positivi al giorno... il che si traduce che dopo i primi 5 giorni in cui uno si diverte a vedere ogni tipo di segnalazione, non caga piu' nemmeno i log... e il risultato di tutto questo e': una bella perdita di tempo + un falsa sensazione di sicurezza.
Io consiglierei l'uso di snort solo in casi di aziende abbastanza grosse con una persona competente che possa dedicargli almeno un paio di ore al giorno (ovviamente se uno se lo vuole installare a scopo didattico e' un altro discorso).

Piuttosto direi di installare qualche parser dei log che faccia un bel report, tipo logwatch, o probabilmente ce ne sono degli altri... o al massimo imparare a configurarsi umanamente bene syslog-ng per avere i log in maniera che sia facile trovare quello che si vuole...


Ciao!

[Ikar]

Quote:

Originariamente inviato da W.S.

Non c'è proprio il file??

Verifica il contenuto di /etc/syslog.conf
(man syslog.conf per info dettagliate)

[root@shizuro log]# cat /etc/syslog.conf
# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.* /dev/console

# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none /var/log/messages

# The authpriv file has restricted access.
authpriv.* /var/log/secure

# Log all the mail messages in one place.
mail.* -/var/log/maillog


# Log cron stuff
cron.* /var/log/cron

# Everybody gets emergency messages
*.emerg *

# Save news errors of level crit and higher in a special file.
uucp,news.crit /var/log/spooler

# Save boot messages also to boot.log
local7.* /var/log/boot.log

[xwang]

Scusate se mi intrometto, ma mi avete fatto venire un dubbio.
Ho dato cat /var/log/auth.log e questo è l'output:
Oct 9 20:17:04 m30-304 CRON[24553]: (pam_unix) session opened for user root by (uid=0)
Oct 9 20:17:04 m30-304 CRON[24553]: (pam_unix) session closed for user root
Oct 9 20:19:59 m30-304 sudo: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=pts/1 ruser= rhost= user=andreak
Oct 9 20:23:34 m30-304 kdm: :0[4997]: (pam_unix) session closed for user andreak
Oct 9 20:25:50 m30-304 kdm: :0[5001]: (pam_unix) session opened for user andreak by (uid=0)
Oct 9 21:17:01 m30-304 CRON[6671]: (pam_unix) session opened for user root by (uid=0)
Oct 9 21:17:01 m30-304 CRON[6671]: (pam_unix) session closed for user root
Oct 9 22:17:01 m30-304 CRON[7663]: (pam_unix) session opened for user root by (uid=0)
Oct 9 22:17:01 m30-304 CRON[7663]: (pam_unix) session closed for user root
Oct 9 23:17:01 m30-304 CRON[8783]: (pam_unix) session opened for user root by (uid=0)
Oct 9 23:17:01 m30-304 CRON[8783]: (pam_unix) session closed for user root
Oct 10 00:16:04 m30-304 kdm: :0[5001]: (pam_unix) session closed for user andreak
Oct 10 18:40:14 m30-304 kdm: :0[5007]: (pam_unix) session opened for user andreak by (uid=0)
Oct 10 18:48:33 m30-304 su[7013]: Successful su for mythtv by root
Oct 10 18:48:33 m30-304 su[7013]: + ??? root:mythtv
Oct 10 18:48:33 m30-304 su[7013]: (pam_unix) session opened for user mythtv by (uid=0)
Oct 10 18:48:33 m30-304 su[7013]: (pam_unix) session closed for user mythtv
Oct 10 19:17:01 m30-304 CRON[25815]: (pam_unix) session opened for user root by (uid=0)
Oct 10 19:17:01 m30-304 CRON[25815]: (pam_unix) session closed for user root
Oct 10 20:17:01 m30-304 CRON[31657]: (pam_unix) session opened for user root by (uid=0)
Oct 10 20:17:01 m30-304 CRON[31657]: (pam_unix) session closed for user root
Oct 10 21:17:01 m30-304 CRON[32655]: (pam_unix) session opened for user root by (uid=0)
Oct 10 21:17:01 m30-304 CRON[32655]: (pam_unix) session closed for user root
Oct 10 22:17:01 m30-304 CRON[982]: (pam_unix) session opened for user root by (uid=0)
Oct 10 22:17:01 m30-304 CRON[982]: (pam_unix) session closed for user root

Che cosa sono tutte queste sessioni aperte e subito chiuse da CRON come utente root?
E questa:
Oct 10 18:48:33 m30-304 su[7013]: Successful su for mythtv by root
Oct 10 18:48:33 m30-304 su[7013]: + ??? root:mythtv
Oct 10 18:48:33 m30-304 su[7013]: (pam_unix) session opened for user mythtv by (uid=0)
Oct 10 18:48:33 m30-304 su[7013]: (pam_unix) session closed for user mythtv
Io l'ho anche disinstallato mythtv!!!
Grazie,
Xwang

[W.S.]

x HexDEF6: nessuna offesa figurati anche perché ciò che dici è + che condivisibile, installarlo per avere una marea di falsi-positivi o comunque inutili log enormi è controproducente. L'ho consigliato pensando appunto ad un ambiente di apprendimento.

x Ikar:

Quote:

authpriv.* /var/log/secure

le autenticazioni vengono loggate nel file /var/log/secure.

x xwang:
l'unica riga semi-sospetta è:

Quote:

Oct 9 20:19:59 m30-304 sudo: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=pts/1 ruser= rhost= user=andreak

Per i CRON, hai qualcosa di schedulato ogni ora, giusto per essere sicuro verifica i vari script cron, comunque è normale trovare quelle righe ed è normale avere qualcosa di schedulato (vedi rotazione dei file di log per esempio)

Per mythtv probabilmente non è stato disinstallato completamente. Potrebbe centrarci ancora cron, vedi se c'è qualche script schedulato come utente mythtv.

[xwang]

Quote:

Originariamente inviato da W.S.

x xwang:
l'unica riga semi-sospetta è:


Per i CRON, hai qualcosa di schedulato ogni ora, giusto per essere sicuro verifica i vari script cron, comunque è normale trovare quelle righe ed è normale avere qualcosa di schedulato (vedi rotazione dei file di log per esempio)

Per mythtv probabilmente non è stato disinstallato completamente. Potrebbe centrarci ancora cron, vedi se c'è qualche script schedulato come utente mythtv.

Allora in ordine:
la riga semi sospetta è perchè mi sono sbagliato ad inserire una password con sudo
il cron l'ho visto e chiama gli script da eseguire ogni ora (che tra l'altro non ci sono) per cui tutto a posto
l'utente mythtv effettivamente ancora c'è anche se disabilitato e in cron.daily c'è uno script rrelativo a mythtv.
Quindi sembra tutto a posto.
Grazie,
Xwang

Ps come faccio a disinstallare del tutto mythtv? lo devo reinstallare e poi purgare?