Главная » Форум » Gentoo Linux » Системное администрирование

[РЕШЕНО] где логи? :(

vitek 13 декабря, 2011 - 17:39

Не могу разобраться, с недавнего времени при входе по ssh на одну из машин перестало выводить приветствие в виде:

Цитата:
Last login: Tue Dec 13 14:31:34 MSK 2011 from ПОСЛЕДНИЙ IP on pts/0

+ ко всему постоянно меняются права на файл /dev/null

на crw------- 1 root root вместо crw-rw-rw- 1 root root

естественно для юзверей это ужас по ssh пускает и только :)

при входе по SSH соответственно сообщение
-bash: /dev/null: Отказано в доступе

+ /var/log/messages пустой.
+ .history у рута тоже пустой.

В общем внешне такое чувство что машину ломанули, но подтвердить это я не могу, пересобрал syslog-ng логи не появились.

Ситуация повторяется при каждой перезагрузке.

Что это может быть и как это побороть.

Все оказалось банально просто, на машине посыпался винт. Отсюда и проблемы с записью, и проблемы со стартом.

‹ Удалённый доступ[РЕШЕНО] apache2 с php4 и php5 параллельно ›
»

/etc/ssh/sshd_config PrintLa

Автор bes.internal, дата создания 13 декабря, 2011 - 17:58.

/etc/ssh/sshd_config

PrintLastLog no
»

На самом деле так и есть. но

Автор vitek, дата создания 14 декабря, 2011 - 23:48.

На самом деле так и есть. но после исправления на 

PrintLastLog yes

Ничего не поменялось, при входе история чистая и последий вход не обозначается, как будто захожу в систему впервые.

»

/etc/init.d/auditd

Автор taho, дата создания 13 декабря, 2011 - 18:03.

/etc/init.d/auditd start
auditctl -e 1
auditctl -w /dev/null -p wa

Попробуй сначало выяснить что или кто ломает а уж потом гадания на кофейной гуще

»

Проделал все выше сказанное,

Автор vitek, дата создания 15 декабря, 2011 - 00:03.

Проделал все выше сказанное, пока никаких внятных результатов. + после того как я меняю права на /dev/null они остаются такими как надо до следующей перезагрузки, как поможет audit? или я что то не понимаю.

Я обычно если ищу взлом исхожу из соображений что злоумышленник так или иначе будет пытаться поддерживать связь со взломанной машиной, но связи нискем не видно.

Цитата:
# netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
1 192.168.0.77 --мой IP с которого сижу по ssh
9
23 0.0.0.0

»

/

Автор Anarchist, дата создания 14 декабря, 2011 - 12:48.
vitek написал(а):
+ /var/log/messages пустой.
+ .history у рута тоже пустой.

В общем внешне такое чувство что машину ломанули, но подтвердить это я не могу, пересобрал syslog-ng логи не появились.

Какой профиль?

Ты меня конечно извини, но мораль на будущее: в процедуру установки включить соответствующую настройку подсистемы журналирования (ныне описывается в Security Handbook).

ls -alh /var (ибо многие приложения по умолчанию пишут логи в файл)

:wq
--
Live free or die

»

Совет постараюсь учесть, но

Автор vitek, дата создания 14 декабря, 2011 - 23:33.

Совет постараюсь учесть, но как бы уже третий год собираю таким образом, да и этому серверу уже чуть больше года, все ок было. То что разные проги пишут логи в разные файлы знаем :) Сам писал небольшие правила для sendmail.

Цитата:
# eselect profile list
Available profile symlink targets:
[1] default/linux/amd64/10.0 *
[2] default/linux/amd64/10.0/desktop
[3] default/linux/amd64/10.0/desktop/gnome
[4] default/linux/amd64/10.0/desktop/kde
[5] default/linux/amd64/10.0/developer
[6] default/linux/amd64/10.0/no-multilib
[7] default/linux/amd64/10.0/server
[8] hardened/linux/amd64
[9] hardened/linux/amd64/selinux
[10] hardened/linux/amd64/no-multilib
[11] hardened/linux/amd64/no-multilib/selinux

Если речь об этом профиле.

»

Все оказалось банально

Автор vitek, дата создания 17 декабря, 2011 - 23:19.

Все оказалось банально просто, на машине посыпался винт. Отсюда и проблемы с записью, и проблемы со стартом.

»

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".