como simplificar as informações contidas em /var/log/auth.log

1

meu /var/log/auth.log contém algumas linhas, como

"reverse mapping checking getaddrinfo for 
 224.51.174.61.dial.wz.zj.dynamic.163data.com.cn [61.174.51.224] failed - 
 POSSIBLE BREAK-IN ATTEMPT!" 
"Failed password for root from 61.174.51.224 port 4227 ssh2"

"reverse mapping checking getaddrinfo for 
 187-101-166-232.dsl.telesp.net.br [187.101.166.232] failed - 
 POSSIBLE BREAK-IN ATTEMPT!"
"Invalid user Admin from 187.101.166.232"

Estes podem ver que os hackers não conseguiram entrar.

Mas infelizmente também vejo alguns registros como

Successful su for xxxxxx (my username) by root

Minhas perguntas idiotas são:

  • A partir do auth.log, como posso saber que o "su bem-sucedido" foi feito por mim, não por hackers que podem ter obtido minhas informações de login?
  • Como filtrar o arquivo auth.log para que ele relata sucintamente qual usuário efetuou login com sucesso, por quanto tempo e de onde? Os endereços IP estavam de fato no arquivo auth.log, mas não é fácil ver se eles realmente conseguiram invadir.
  • Existe um arquivo de log para verificar o que os hackers fizeram?

Obrigado por qualquer esclarecimento.

    
por water stone 04.04.2014 / 10:17

1 resposta

2
  

1) do auth.log, como posso dizer que o "sucesso su" foi por mim,   não por hackers que possam ter obtido minhas informações de login?

Isso quebraria o significado dos arquivos de log. Como o seu sistema deve saber se é um hacker, que teve sucesso?

  

2) Como filtrar o arquivo auth.log para que ele relata sucintamente quais   usuário logado com sucesso, por quanto tempo e de onde?

É para isso que serve o programa last . Ele analisa os arquivos /var/log/wmtp e /var/log/utmp , que contêm essas informações. Veja:

user@host:~$ last
root     pts/0        1.2.3.4      Fri Apr  4 07:59   still logged in
root     pts/5        1.2.3.4      Wed Apr  2 15:58 - 17:00  (01:02)
root     pts/0        1.2.3.4      Wed Apr  2 07:39 - 16:15  (08:36)
root     pts/0        1.2.3.4      Tue Apr  1 07:39 - 16:00  (08:20)

Além disso, você pode analisar os arquivos wtmp e utmp mais antigos com a opção -f : last -f /var/log/wtmp.1 .

  

3) Existe um arquivo de log para verificar o que os hackers fizeram?

Veja a pergunta 1). Quando um hacker obtém acesso ao seu sistema, é uma autenticação bem-sucedida. Então o sistema não sabe que é um hacker. Tudo o que você pode fazer é pesquisar em /var/log/* para rastreamentos.

    
por chaos 04.04.2014 / 10:33