[Centos]Modifier l'envoi des logs

Modifier l'envoi des logs [Centos] - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 31-01-2011 à 11:41:29    

Bonjour,
 
Je suis en train de configurer un fail2ban sur un serveur Centos 5. Il analyse les logs /var/log/secure.
 
Je souhaite bannir automatiquement les adresses IP qui ont échouées 2 tentatives au root.
 
Je fais mes tests avec Putty. Si à chaque tentative je ferme Putty et je le relance pour entrer un nouveau mot de passe erroné j’obtiens les logs suivants :
 

Code :
  1. sshd[2940]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=XXX.XXX.XXX.XXX  user=root
  2. sshd[2940]: Failed password for root from XXX.XXX.XXX.XXX port 55582 ssh2
  3. sshd[2941]: Connection closed by XXX.XXX.XXX.XXX
  4. sshd[2943]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= XXX.XXX.XXX.XXX  user=root
  5. sshd[2943]: Failed password for root from XXX.XXX.XXX.XXX port 55596 ssh2
  6. sshd[2944]: Connection closed by XXX.XXX.XXX.XXX


 
La ca fonctionne car il détecte 2 fois : Failed password for root from XXX.XXX.XXX.XXX port 55582 ssh2
 
Par contre si je ne ferme pas Putty et que je tente plusieurs password voici les logs que j'obtiens :
 

Code :
  1. sshd[3121]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= XXX.XXX.XXX.XXX  user=root
  2. sshd[3121]: Failed password for root from XXX.XXX.XXX.XXX port 55619 ssh2
  3. last message repeated 4 times


 
Et une fois que je ferme Putty, il s'ajoute cela à la suite des logs :
 

Code :
  1. sshd[3122]: Connection closed by XXX.XXX.XXX.XXX
  2. sshd[3121]: PAM 4 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=XXX.XXX.XXX.XXX  user=root
  3. sshd[3121]: PAM service(sshd) ignoring max retries; 5 > 3


 
Mon problème est ce qui apparaît dans les logs avant de fermé Putty : last message repeated 4 times
 
Je souhaite savoir s'il est possible de ne pas afficher ce message mais d'afficher successivement les messages d'erreurs afin d'obtenir des logs du genre :
 

Code :
  1. sshd[3121]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= XXX.XXX.XXX.XXX  user=root
  2. sshd[3121]: Failed password for root from XXX.XXX.XXX.XXX port 55619 ssh2
  3. sshd[3122]: Failed password for root from XXX.XXX.XXX.XXX port 55619 ssh2
  4. sshd[3123]: Failed password for root from XXX.XXX.XXX.XXX port 55619 ssh2


 
Cela me permettra de faire fonctionner mon fail2ban dans le cas ou la personne qui tente de se connecter à mon serveur ne relance pas putty à chaque fois.
 
Si vous avez des conseils ou des questions car je n'ai peut-être pas été très clair.
 
D'avance merci

Message cité 1 fois
Reply

Marsh Posté le 31-01-2011 à 11:41:29   

Reply

Marsh Posté le 17-06-2011 à 17:39:40    

Salut,
 
J'ai exactement le même problème que toi.
As-tu trouvé ou eu la solution depuis ton post?
 
Si oui, peux-tu la partager?
 
Merci d'avance.
 
André.
 
 
 

seb06bes a écrit :

Bonjour,
 
Je suis en train de configurer un fail2ban sur un serveur Centos 5. Il analyse les logs /var/log/secure.
 
Je souhaite bannir automatiquement les adresses IP qui ont échouées 2 tentatives au root.
 
Je fais mes tests avec Putty. Si à chaque tentative je ferme Putty et je le relance pour entrer un nouveau mot de passe erroné j’obtiens les logs suivants :
 

Code :
  1. sshd[2940]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=XXX.XXX.XXX.XXX  user=root
  2. sshd[2940]: Failed password for root from XXX.XXX.XXX.XXX port 55582 ssh2
  3. sshd[2941]: Connection closed by XXX.XXX.XXX.XXX
  4. sshd[2943]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= XXX.XXX.XXX.XXX  user=root
  5. sshd[2943]: Failed password for root from XXX.XXX.XXX.XXX port 55596 ssh2
  6. sshd[2944]: Connection closed by XXX.XXX.XXX.XXX


 
La ca fonctionne car il détecte 2 fois : Failed password for root from XXX.XXX.XXX.XXX port 55582 ssh2
 
Par contre si je ne ferme pas Putty et que je tente plusieurs password voici les logs que j'obtiens :
 

Code :
  1. sshd[3121]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= XXX.XXX.XXX.XXX  user=root
  2. sshd[3121]: Failed password for root from XXX.XXX.XXX.XXX port 55619 ssh2
  3. last message repeated 4 times


 
Et une fois que je ferme Putty, il s'ajoute cela à la suite des logs :
 

Code :
  1. sshd[3122]: Connection closed by XXX.XXX.XXX.XXX
  2. sshd[3121]: PAM 4 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=XXX.XXX.XXX.XXX  user=root
  3. sshd[3121]: PAM service(sshd) ignoring max retries; 5 > 3


 
Mon problème est ce qui apparaît dans les logs avant de fermé Putty : last message repeated 4 times
 
Je souhaite savoir s'il est possible de ne pas afficher ce message mais d'afficher successivement les messages d'erreurs afin d'obtenir des logs du genre :
 

Code :
  1. sshd[3121]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= XXX.XXX.XXX.XXX  user=root
  2. sshd[3121]: Failed password for root from XXX.XXX.XXX.XXX port 55619 ssh2
  3. sshd[3122]: Failed password for root from XXX.XXX.XXX.XXX port 55619 ssh2
  4. sshd[3123]: Failed password for root from XXX.XXX.XXX.XXX port 55619 ssh2


 
Cela me permettra de faire fonctionner mon fail2ban dans le cas ou la personne qui tente de se connecter à mon serveur ne relance pas putty à chaque fois.
 
Si vous avez des conseils ou des questions car je n'ai peut-être pas été très clair.
 
D'avance merci



---------------
J'ai fini par acquérir durablement le sentiment de l'éphémère...
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed