Re: Versucht Einbrüche beim sshd

From: Oliver Fromme <olli(at)lurza.secnetix.de>
Date: Mon, 24 Jan 2005 10:55:30 +0100 (CET)

Daniel Graupner <listen(at)danielgraupner.de> wrote:
> Bernd Walter schrieb:
> > On Fri, Jan 21, 2005 at 08:32:48PM +0100, Daniel Graupner wrote:
> > Zur /etc/periodic.conf gibt es auch eine /etc/defaults.
> > Der Oliver schrieb _Default_, weils default aktiviert ist.
> > Das hat FreeBSD-2.x schon so gemacht - etwas andere Mechanismen zwar,
> > aber zum gleichen Zweck.
> > Du solltest eher prüfen was dein cron so macht, der die jobs per
> > /etc/crontab auslösen sollte.
> > Dir fehlen dann auch andere Dinge, die mitunter wichtig sein können,
> > wie z.B. update der locate.db oder pflegen von /var/backups.
>
> Ah ja, ich seh schon. Steht in der /etc/crontab und die mails
> stehen in der Warteschlange (hab kein sendmail laufen).

Warum nicht? Normalerweise sollte man sendmail_enable="NO"
in /etc/rc.conf stehen haben, damit zumindest lokale Mails
(wie halt vom cron) zugestellt werden können.

> Naja,
> sobald man mehr als 3 Rechner zu überwachen hat werden mir das zu
> viele mails.

Du kannst per periodic.conf(5) auch einstellen, daß die
Ausgaben der Skripte in Dateien abgelegt und rotiert wer-
den. Das ist auf jeden Fall besser, als sie ganz wegzu-
schmeißen, denn Du kannst im Fall der Fälle immer noch
dort etwas nachlesen

Eine weitere Möglichkeit besteht darin, daß man die Aus-
gaben an einen speziellen Pseudo-User mailen läßt, der
die Mails nach bekannten Mustern filtert und nur »Unge-
wöhnliches« übrig läßt, was dann an root (oder sonstwo-
hin) gemailt wird, sofern überhaupt etwas übrig bleibt.
Im Idealfall bekommt man dann nur in seltenen Fällen eine
Mail, wenn tatsächlich etwas aufgetreten ist, dem man
Beachtung schenken sollte.

> Ich nutze den nagios...die Ausgabe ist leider nicht
> soo umfangreich, läßt sich aber prinzipiell durch einfache plugins
> nachbauen.

Nagios ist nett, kann aber die Auswertungen, die durch die
periodic(8)-Skripte durchgeführt werden, nicht ersetzen.

Gruß
   Olli

-- 
Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
"FreeBSD is Yoda, Linux is Luke Skywalker"
        -- Daniel C. Sobral
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Mon 24 Jan 2005 - 10:56:37 CET

search this site