Security

[ottto]

FreeNAS 9,3
Hallo zusammen,
ich hab einen security run output bekommen, in dem mehrfach Anmeldeversuche abgewiesen wurden.

...sshd[36824]: Failed password for root from xx.xx.xx.xx port 61267 ssh2....
...sshd[40314]: Failed password for root from xx.xx.xx.xx port 61568 ssh2....


Die xx-IP-Adresse passt ins Netz ist aber nicht erreichbar.

Kann man im FreeNAS einstellen, dass sofort eine Benachrichtigung versendet wird, sobald ein Anmeldeversuch fehlschlägt?
Kann man neben den abgewiesenen Versuchen auch die erfolgreichen Anmeldungen sehen?
Danke.
Gruß.
ottto

 

[ottto]

Kann mir jemand sagen, in welcher Datei die Informationen vom security run output gespeichert werden?
Danke.
ottto

 

[snaptec]

Schau dir mal die Datei /var/log/auth.log an. Das sollte dir helfen und Aufschluss geben.

 

[ottto]

das hab ich gesucht. Danke!
Der security run output bringt die abgewiesenen Anmeldeversuche vom letzten Jahr. !!!

Wobei die enthaltene Zeitangabe ohne Jahr ist. So hab ich am So (23. April) die entsprechende Mail bekommen, dass es am 22. April mehrere fehlerhafte Anmeldeversuche gab. In der auth.log ist dann aber nachzuvollziehen, dass es sich um den 22. April 2016 (Fr) handelt.

Durch die Verschiebung von einem Jahr ist auch die Geschichte mit der IP-Adresse erklärbar.

Ist das ein Bug oder kann man das besser einstellen? Ich hab die auth.log gelöscht. In einem Jahr könnte ich aber wieder auf das gleiche Problem stoßen.

Danke.
ottto

 

[X11SAE]

Kenne mich damit nicht aus, aber das klingt stark nach einem Bug. Selbst wenn man das Konfigurieren könnte, darf sowas mit den Standardeinstellungen nicht passieren. Du hast nie irgendwas (per Console) in diese Richtung verändert, oder?
Das könnte mit dem europäischen Datumsformat zu tun haben, aber das sollen die Entwickler klären. Ich würde einen Bug Report machen.

 

[snaptec]

Ich hab die auth.log gelöscht. In einem Jahr könnte ich aber wieder auf das gleiche Problem stoßen.

Danke.
ottto

Das sollte man nicht unbedingt tun.
Wenn ein Prozess auf die Datei zugreift, zu sehen unter /proc/$PID dann wird künftig in eine nicht vorhandene Datei geschrieben. Ergo er schreibt keine dir ersichtlichen Logs.

Für die Zukunft:
Logrotate kann man manuell ausführen, das kümmert sich darum das so etwas nicht passiert.



Das ist nicht perse der Fall mag nun jemand anmerken. Evtl. wird er es aber bei anderen Dateien auch so handhaben, darum der Hinweis.

 

[ottto]

Ich hab die auth.log erst umbenannt mich dann neu engemeldet. Dabei wurde die auth.log neu erstellt. Erst dann hab ich die alte gelöscht.

Die Log-Einstellungen sind Standart. Da hab ich nichts verstellt.

 

[warri]

Scheint ein bekannter Bug zu sein: https://bugs.freenas.org/issues/18615