PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Login Ereignisse per Email versenden



taylor
05.08.04, 21:47
Hallo!

Ich würde gerne von meinem System über fehlgeschlagene lokale Logins und fehlgeschlagene wie erfolgreiche Remote-Logins informiert werden.
Am liebsten hätte ich einfach eine Email darüber in meinem lokalen Postfach.

Hat jemand eine Idee, wie ich das angehen muß?

Gruß,
taylor

BSM
05.08.04, 22:39
Hallo,

also ich denke das lässt sich mit Scripten ganz gut machen ;)

Du baust dir einen kleinen Dämonen der immer mit tail -f die messages mitschneidet und in eine Temporäre Datei schmeisst. In bestimmten Invervallen wird dann in dieser Temp Datei nach Logins und was du willst gesucht und an dich per Mail geschickt.

Dann darfst du nicht vergessen LogRotate so einzustellen, dass es deinen kleinen mitschneider auch neustartet.

Ansonsten gab es irgendwo mal ein Erweitertes Syslog, dort konnte man auch nach bestimmten Sachen filtern, dann müsste man sich ein Script bauen, dass aus der neuen "Login"-Datei das nötige rausholt, das könnte man auch mal anschaun.

Es gibt aber bestimmt ne einfachere Methode ;)

Gruss Robert, der kleine lustiger Script Neuling :D

taylor
05.08.04, 23:06
Ich dachte an etwas mit weniger (Bastel-) Arbeit.

Im Moment suche ich nach einer Möglichkeit, PAM soweit zu bringen. Aber vieleicht hat ja noch einer ne zündende Idee dazu.

Herr Kommisar
05.08.04, 23:09
ich glaube das programm logsurfer kann dir weiterhelfen

http://www.cert.dfn.de/eng/logsurf/

taylor
06.08.04, 12:26
Logsurfer ist aus irgendeinem Grund nicht in Debian, und gefällt mir von daher erstmal nicht.

Ich versuche gerade, mit syslog-ng oder metalog das Problem zu lösen.

cane
06.08.04, 13:38
Hallo taylor,

im Linux-Mag war mal ein netter Artikel zu syslog-ng.
Ich meine zu wissen dass syslog-ng die von Dir gewünschte Funktionalität bietet.

mfg
cane

cane
06.08.04, 13:41
Du kannst mittels eines tools von Kiwi Enterprises soger Windows Rechner mit ins Logging aufnehmen.

Netter Artikel zu syslog-ng hier: http://www.linux-magazin.de/Artikel/ausgabe/2003/11/tagebuch/tagebuch.html

cane
06.08.04, 13:52
Hab noch was gefunden was Dir helfen könnte - scheint Deine Anforderungen zu erfüllen :)
http://sws.dett.de/logmail/

EDIT: Drauf gekommen bin ich über diese Quelle: http://www.selflinux.org/selflinux/pdf/syslog.pdf

taylor
06.08.04, 13:57
Ich habe mein Problem soeben mit metalog gelöst.



Password failures:
regex = "(password|login|authentication)\s+(fail|invalid)"
regex = "(failed|invalid)\s+(password|login|authentication| none)"
regex = "ILLEGAL ROOT LOGIN"
logdir = "/var/log/pwdfail"
command = "/usr/local/sbin/mail_pwd_failures.sh"··



#! /bin/sh
echo "$3" | mail -s "Warning (program : $2)" root

Das genügt mir.

Gruß,
taylor

lalilu
06.08.04, 22:20
Eine kurze Anmerkung zu syslog-ng:

Dort kann man Logs an ein beliebiges Programm (also in diesem Fall dann z. B. "mail -s failed_login root") übergeben. (siehe http://www.balabit.com/products/syslog_ng/reference/destinations.html )

Das würde ich für die "sauberere" Lösung halten, da ein Prozess gespart wird. Naja, Ansichtssache :)