• moderiert von:
  • OSS-Admin
Zum aktuellsten Beitrag
"faillog" ist leer
  • verfasst: 06.05.2009, 14:31
     
    Forenrang:
    Profi Profi
    registriert:
     Juni 2007
    Status:
    offline
    letzter Besuch:
    23.06.10
    Beiträge:
    18
    Hallo nochmal,

    nachdem mir hbiber bei meiner letzten anfrage so fix geantwortet hat (neue Platte kommt Donnerstag...), habe ich nun hier halt noch eine Frage, auf die ich so keine Antwort weiß: Neulich wollte ich die fehlgeschlagenen Anmeldeversuche auf unserem Server aufrufen, und meiner Kenntnis nach geht das mit dem Befehl "faillog". Allerdings gab´s keine Anzeige auf dem Schirm, und die Datei var/log/faillog ist auch leer. Da habe ich´s halt mal mit der Datei log.smbd probiert, aber da finde ich nur die erfolgreichen Zugriffe. Wo wird (wenn überhaupt) protokolliert, wann es von welchem Rechner ungültige Anmeldeversuche gegeben hat?

    Es grüßt auf Antwort hoffend und sich vorauseilend artig bedankend

    Paul Kober
  • verfasst: 06.05.2009, 16:50
     
    Forenrang:
    Profi Profi
    registriert:
     Februar 2005
    Status:
    offline
    letzter Besuch:
    01.12.09
    Beiträge:
    97
    Hallo Paul,

    fehlgeschlagene Anmeldeversuche an deinem OSS werden in /var/log/messages protokolliert. Allerdings nur Zugriffe per ssh.
    Probier mal:
    Code
    1. zgrep -i sshd /var/log/messages* | less
    aber nicht erschrecken, denn wenn dein OSS ohne Router dazwischen am INet hängt, tauchen auch viele versuchte Einbrüche auf. Aber wie gesagt, nur Zugriffe per "ssh". Samba-Zugriffe werden unter /var/log/samba protokolliert. Wenn du den Eintrag
    Code
    1. log file = /var/log/samba/%U.log

    in /etc/samba/smb.conf hast, werden die Zugriffe in "pro-User"-Dateien gespeichert. Dort findest du dann die (erfolgreichen) Zugriffe.
    Fehlerhafte samba-Zugriffe (z.B. falsches Kennwort, ...) werden IMHO nicht protokolliert. Oder doch?

    Viele Grüße
    Holger
  • verfasst: 06.05.2009, 17:16
     
    Forenrang:
    Profi Profi
    registriert:
     Juni 2007
    Status:
    offline
    letzter Besuch:
    23.06.10
    Beiträge:
    18
    Hallo Holger,

    besten Dank für die rasche Antwort; den Befehl "zgrep" kannte ich nicht; der erleichtert mir schon einiges! Trotzdem soll (auch und gerade nach OSS-Handbuch) der Befehl "faillog" fehlgeschlagene Anmeldeversuche darstellen, die in eben dieser Datei gespeichert werden. Tut er aber nicht, der Schlingel, und die Datei ist zwar vorhanden, aber leer. Was passiert denn bei Dir, wenn Du "faillog" eingibst?

    Mit freundlichen Grüßen

    Paul Kober
  • verfasst: 06.05.2009, 22:46
     
    Forenrang:
    Profi Profi
    registriert:
     Februar 2005
    Status:
    offline
    letzter Besuch:
    01.12.09
    Beiträge:
    97
    Hallo Paul,

    "/var/log/faillog" ist KEINE Log-Datei im eigentlichen Sinne, d.h. es werden dort keine Benutzer o.dgl. gespeichert, sondern faillog ist nur eine "Zählerdatei". Dort wird ein Zähler mit jedem fehlgeschlagenen Login eines Benutzers hochgezählt, und abhängig von der Konfiguration kann z.B. nach dem fünften Fehlversuch das Login gesperrt werden.

    Aber so wie ich es verstanden habe, wird der Zähler nur bei direkter Anmeldung an der Konsole, d.h. direkt am Rechner aktiviert.
    Und eigentlich sollte ja kein "Otto-Normaluser" direkt am OSS arbeiten können/dürfen.

    "faillog" so aufgerufen gibt gar nichts aus.

    Wenn ich
    Code
    1. faillog -u root
    eingeben, erhalte ich:
    Zitat admin:/var/log # faillog -u root Benutzer Fehler Maximum Letzter root 0 0
    Und das ist ja richtig, denn root ist lokal angemeldet und hat seit dem letzten Booten keinen Fehlversuch gehabt. Bei anderen Usern kommt auch nur ein leerer Eintrag, denn es war ja keiner lokal angemeldet. Zu deinen "fehlgeschlagenen" Anmeldeversuchen: Wie gesagt, unter "/var/log/samba" findest du in den einzelnen Protokolldateien Hinweise auf Verbindungen. Für den Proxy unter /var/log/squid in der Datei "access.log" bzw. den gepackten Versionen. Wenn noch Fragen sind:
    Code
    1. echo "Hilfe" > /dev/null


    SCNR icon_wink
    Holger




    editiert von: hbiber, 06.05.2009, 22:46 Uhr
  • verfasst: 07.05.2009, 08:49
     
    Forenrang:
    Profi Profi
    registriert:
     Juni 2007
    Status:
    offline
    letzter Besuch:
    23.06.10
    Beiträge:
    18
    Hallo, Holger,

    besten Dank für die Aufklärung. Die Unterschiede in der Handhabung waren mir bis jetzt nicht wirklich klar, aber jetzt hab´ich ml wieder was dazugelernt. Trotzdem noch (in der Hoffnung, nicht lästig zu werden), zwei Fragen: Gibt es denn eine Möglichkeit, unter Samba die Anzahl der Anmeldeversuche zu begrenzen? Und: was um Himmels Willen bedeutet "SCNR"?

    Liebe Grüße

    Paul
  • verfasst: 07.05.2009, 12:40
     
    Forenrang:
    Profi Profi
    registriert:
     Februar 2005
    Status:
    offline
    letzter Besuch:
    01.12.09
    Beiträge:
    97
    Hallo Paul,

    Fragen kostet nichts, und wenn ich es asl lästig empfinden würde, würde ich dir ja einfach nicht antworten. Und zudem gebe ich mein Wissen, oder auch Unwissen icon_wink gerne weiter.

    Tja, eine direkte Begrenzung in Samba gibt es IMHO nicht.
    Man kann zwar mit "max connection=3" die Anzahl gleichzeitiger Verbindungen auf 3 beschränken, aber das bezieht sich nur auf ein "share", nicht auf die Login-Versuche.

    Was mir zu dieser Begrenzung einfiele:
    a) Die pam-Module (unter /etc/pam.d) bieten so etwas an, erfordert aber einiges an Aufwand, zumal ich es auch noch
    nicht gemacht habe.
    b) Es gibt die Möglichkeit eigene Skripte beim Verbinden (und Lösen) von "share-Verknüpfungen" auszuführen, oder sogar in
    dem "netlogon"-Teil eine eigene Batch-Datei (logon.bat) einzubauen. Letztere gibt es ja schon.
    Diese wird aber nur bei erfolgreichem Login ausgeführt. ALso auch nicht unbedingt, was du möchtest.

    Sorry, aber vielleicht haben Andreas oder Lars noch Ideen.

    Und zu deiner Frage "SCNR":
    http://de.wikip...(Netzjargon)

    Viele Grüße
    Holger

 Suchen:


 Umfrage

(Nur für angemeldete Benutzer)

Was wird hier am meisten vermisst?

[ Ergebnis | Umfragen ]

Stimmen: 621
Kommentare: 0

 Zitate

If I have trouble installing Linux, something is wrong. Very wrong.

-- Linux Torvalds