[+] prośba o sprawdzenie logów w /var/log/messages

Zagadnienia bezpieczeństwa w systemie
kudzu
Posty: 51
Rejestracja: 19 lipca 2012, 19:54
Lokalizacja: Kraków

Re: prośba o sprawdzenie logów w /var/log/messages

Post autor: kudzu »

Dziękuję wszystkim za zainteresowanie. Będę walczył po wieczorynce;)

Edit...
dedito pisze:Tu jest jakaś wskazówka (nie wczytywałem się) -> https://blog.dantup.com/2016/04/removin ... an-jessie/
Zakładam, że masz orangepi.
Pomogło - dziękuję!
Ostatnio zmieniony 27 września 2016, 18:23 przez kudzu, łącznie zmieniany 1 raz.
Awatar użytkownika
marcin1982
Moderator
Posty: 1730
Rejestracja: 05 maja 2011, 12:59
Lokalizacja: Zagłębie Dąbrowskie

Re: prośba o sprawdzenie logów w /var/log/messages

Post autor: marcin1982 »

Oznacz wąŧek jako rozwiązany.
kudzu
Posty: 51
Rejestracja: 19 lipca 2012, 19:54
Lokalizacja: Kraków

Re: prośba o sprawdzenie logów w /var/log/messages

Post autor: kudzu »

Xela pisze:jest jeszcze konfiguracja hosts.allow/hosts.deny jak masz oczywiście możliwość przypisania konkretnych hostów po adresie to dobrze się sprawdza
http://linuxmdv.cba.pl/etc_hosts.php
Rzeczywiście, pomocne, ale chyba nie w mojej sytuacji. W sieciach lokalnych (eth1 i wlan0) nie potrzebuję takich ograniczeń (wifi będę filtrował po MAC). Natomiast z zewnątrz, jeśli się łączę, to przez telefon, a tam nie mam publicznego IP, więc nie wiem, co przepuszczać.
lizard pisze:Mimo zmiany portu ssh i tak będziesz mieć w logach próby połączeń na porcie 22.

Zmiana domyślnych portów to security by obscurity. Włącz logowanie przez ssh wyłącznie przez klucze ssh i poczytaj o fail2ban.
Fail2ban już zainstalowałem - na razie działa w prawie domyślnej konfiguracji:

Kod: Zaznacz cały

banaction = iptables-allports
Chciałbym jednak wrócić do tego:

Kod: Zaznacz cały

Sep 27 23:00:57 orangepipcplus kernel: [ 4932.448148] IPTables-Dropped: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:0d:f3:0b:34:61:08:00 SRC=0.0.0.0 DST=255.255.255.255 LEN=576 TOS=0x00 PREC=0x00 TTL=64 ID=0 PROTO=UDP SPT=68 DPT=6$
Takich logów mam co najmniej kilobajty i do bardzo różnych adresów MAC. Doliczyłem się 8 różnych urządzeń w ciągu ostatnich 10 minut, a ja obecnie nawet tyle w sieci nie mam. Z czego to wynika?
Awatar użytkownika
dedito
Moderator
Posty: 3512
Rejestracja: 18 listopada 2013, 21:07
Lokalizacja: Gliwice

Re: prośba o sprawdzenie logów w /var/log/messages

Post autor: dedito »

kudzu pisze: Chciałbym jednak wrócić do tego:

Kod: Zaznacz cały

Sep 27 23:00:57 orangepipcplus kernel: [ 4932.448148] IPTables-Dropped: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:0d:f3:0b:34:61:08:00 SRC=0.0.0.0 DST=255.255.255.255 LEN=576 TOS=0x00 PREC=0x00 TTL=64 ID=0 PROTO=UDP SPT=68 DPT=6$
Takich logów mam co najmniej kilobajty i do bardzo różnych adresów MAC. Doliczyłem się 8 różnych urządzeń w ciągu ostatnich 10 minut, a ja obecnie nawet tyle w sieci nie mam. Z czego to wynika?
Pisałem już w drugiej wiadomości.
kudzu
Posty: 51
Rejestracja: 19 lipca 2012, 19:54
Lokalizacja: Kraków

Re: prośba o sprawdzenie logów w /var/log/messages

Post autor: kudzu »

dedito pisze: Inne rzeczy to są wyłącznie z eth0 wysyłane na adres rozgłoszeniowy zapewne z jakiegoś klienta DHCP od strony eth0, coś tam szuka serwera DHCP..
Dobrze rozumiem, że jakiś klient na routerze szuka serwera DHCP przez interfejs eth0? Czy odwrotnie - coś z zewnątrz szuka u mnie serwera DHCP?
To oznacza, że coś jest gdzieś skopane w konfiguracji?
Awatar użytkownika
dedito
Moderator
Posty: 3512
Rejestracja: 18 listopada 2013, 21:07
Lokalizacja: Gliwice

Re: prośba o sprawdzenie logów w /var/log/messages

Post autor: dedito »

kudzu pisze: Czy odwrotnie - coś z zewnątrz szuka u mnie serwera DHCP?
To oznacza, że coś jest gdzieś skopane w konfiguracji?
Coś z zewnątrz, wskazuje na to log we fragmencie
in=eth0
co wskazuje, że pakiet przyszedł z zewnątrz.
To nie problem z konfiguracją.
kudzu
Posty: 51
Rejestracja: 19 lipca 2012, 19:54
Lokalizacja: Kraków

Re: prośba o sprawdzenie logów w /var/log/messages

Post autor: kudzu »

Dzięki - do zamknięcia.
Zablokowany