Verificar tentativas de acesso [RESOLVIDO]

GuilhermeBR
(usa CentOS)

Enviado em 18/04/2010 - 19:56h

Pessoal,

Como faço para verificar, as tentativas de acesso, no meu servidor Linux?

jairofrasson
(usa Slackware)

Enviado em 18/04/2010 - 20:23h

Dê uma checada nos arquivos de log no diretório '/var/log'. Por exemplo, para as tentativas via ssh tente 'cat /var/log/messages'.

GuilhermeBR
(usa CentOS)

Enviado em 18/04/2010 - 23:08h

Então, dei uma olhada, e lá consta o seguinte:

Cron, messages, secure e Xorg.0.Log. Seria no messages? Se for, tô tranquilo, pois não consta nda, além das msgs do DHCP. rs..

jairofrasson
(usa Slackware)

Enviado em 19/04/2010 - 04:52h

Tentativas de acesso mau sucedidas são registradas como "Oct 15 22:22:57 server sshd[7980]: Invalid user robert from 200.74.167.51" ou "Oct 15 22:23:26 server sshd[7994]: User sshd not allowed because account is locked". Se você tiver muitas entradas como essas no seu "/var/log/messages", e a porta usada é a 22, tente mudá-la pois tem alguém tentando invadir o seu servidor. Se você estiver servindo Cups, ProFTP, Apache-Tomcat, Samba, etc, os logs para esses servidores (a menos que isso foi mudado) provavelmente estarão no diretório /var/log também. Procure por arquivos com o nome do servidor e a extensão ".log".

GuilhermeBR
(usa CentOS)

Enviado em 19/04/2010 - 08:22h

Obrigado Jairo! =)

andrezc
(usa Debian)

Enviado em 19/04/2010 - 08:25h

Opa! Dê uma olhada por aqui também, no artigo que escrevi :

http://segurancalinux.com/artigo/The-Brute-Force-Attack/

Creio que seja de interesse da sua parte ;)