Forum Linux.débutant Analyser les résultats de logwatch

Posté par . Licence CC by-sa
Tags : aucun
3
22
jan.
2014

Bonjour,
j'ai
pu installé logwatch sur une machine perso qui est connecté souvent
vers l'Internet.
Et je vois par l’intermédiaire de logwatch que :

login:
    Authentication Failures:
       unknown (): 98 Time(s)
    Invalid Users:
       Unknown Account: 99 Time(s)
       Bad User: +1: 3 Time(s)
       Bad User: +!": 1 Time(s)
       Bad User: +3%*(: 1 Time(s)
    Unknown Entries:
       1 more authentication failure; logname=LOGIN uid=0 euid=0 
tty=/dev/tty1 ruser= rhost= : 1 Time(s)

Qu'est ce que je dois comprendre exactement? Car pas de catégorie ssh.
Ce login représente le login local n'est ce pas? Alors pourquoi ces
chiffres sont tant important? Et n'y a t-il moyen de savoir d'où cela
vient (si c'est en local, quel logiciel).
Je trouve ça étrange, donc je ne sais plus trop quoi penser.

  • # alerte...

    Posté par . Évalué à 2.

    l'idée de logwatch c'est probablement d'analyser les logs pour te sortir une alerte,
    c'est le cas.

    à toi ensuite d'affiner en demandant plus d'infos par :
    - une option de logwatch si elle existe
    - une analyse à la main, en cherchant les "login" dans tes logs pour en savoir plus.

    • [^] # Re: alerte...

      Posté par . Évalué à 1.

      Très bien je vais voir d'un peu plus près les logs de login, et si je ne
      comprends pas, je devrai bien trouver des explications quelque part sur
      l'Internet.
      merci.

      • [^] # Re: alerte...

        Posté par (page perso) . Évalué à 2.

        Je connaissais pas ce logiciel et je viens de l'installer sur ma Gentoo qui est connectée à l'Internet (serveurs HTTP et Gopher).

        En invoquant /sbin/logwatch.pl sans aucune option, j'ai obtenu une excellente synthèse des dernières 24 heures de mon activité (y compris ma connexion pour la mise à jour de ma Gentoo). Je n'ai pas mis SSH sur cette machine mais je viens de penser à quelque chose : n'y aurait-il pas un serveur Xined en fonction qui déclencherait un serveur Telnet ? Dans ce cas, il y aurait bien de nombreuses invocations à Login !

        Il serait judicieux de faire un scan de ports avec nmap : nmap -A -Pn localhost

  • # Parefeu

    Posté par (page perso) . Évalué à 2.

    Même sous Linux, le parefeu constitue une protection intéressante.

    Pour une machine personnelle, des applis telles que firestarter permettent de rapidement mettre en place ce parefeu sans avoir à se plonger dans la doc d'iptables.

    Après on peut toujours se plonger dans la doc d'iptables hein ;)

    Ce qui n'empêche pas d'aller jeter un œil sur /var/log/secure pour avoir plus de détails sur les alertes remontées par logwatch.

    Mes 2 ¢

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.