Zwei Fragen: DenyHosts und LogFileAnalyser

    Hallo und guten Abend,


    meine erste Frage: gibt es Erfahrung mit DenyHosts?
    Wäre es ratsam es einzusetzen? Wenn ja, wo bitte trage ich die Optionen


    PURGE_DENY = 1d
    DAEMON_PURGE = 1d


    ein?


    Die Optionen bedeuten, das die gesperrten IP´s nach einem Tag wieder Zugang haben. Ich könnte das zwar auch manuell erledigen, automatisch klingt
    aber einfacher und besser *g*


    DenyHosts ist ein Python-Script, das standardmäßig alle 30 Sekunden die syslog-Datei (var/log/auth.log nach verdächtigen SSH-Fehlversuchen "scant" und "auffälige" IP-Adressen in die Datei /etc/hosts.deny einträgt. Es trägt zur
    Verbesserung der Sicherheit des Servers bei. Ich bin darauf gekommen, nachdem
    ich doch in /var/log/auth.log so manche IP-Adresse gefunden habe, die versucht hat,
    sich mit root und anderen Usernamen einzuloggen.
    Scheinbar lassen sogar einige ganze Scripte durchlaufen...


    Zweite Frage: Kennt jemand einen guten LogFile-Analyser?
    Ich habe zwar schon einige durchprobiert, wobei selbstverständlich jeder auch
    Linux/Unix lesen und in verschiedenen Optionen darstellen kann.
    Meine Erfahrung: War wohl nix.


    Die Log-Files aus verschiedenen Perspektiven zu betrachten gibt doch eine
    bessere Übersicht und ein besseres Gefühl um zu verstehen, was passiert.


    Danke und Gruß,
    Sunshine

    Denyhosts kann ich nur empfehlen, die Konfigurationsdatei davon ist die /etc/denyhosts.conf - dort musst du nur die entsprechenden Zeilen suchen und anpassen. Nach einer Änderung daran bitte nicht vergessen den Dennyhosts Daemon neuzustarten: /etc/init.d/denyhosts restart



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Ich würde auch empfehlen die Synchronisation zu aktivieren. Dabei werden die IPs mit Meldungen anderer denyhosts-Setups über einen Zentralserver abgeglichen. Das SYNC_INTERVAL kann man bei häufigeren Attacken auch von 1h runter auf bis zu 5min reduzieren. Dann werden die IPs häufiger und in der Summe zahlreicher aktualisiert.

    Bei mir läuft denyhosts auch sehr gut und zur vollen Zufriedenheit.


    Welche Arten von Log-Files willst du denn visualisiert haben? Für statistische Daten kann ich aus persönlicher Erfahrung Sawmill ( http://www.haage-partner.de/sawmill/ ) empfehlen. Das Tool beherrscht mehr als 800 verschiedene Log-Formate und was es nicht kann, kann man nachrüsten lassen.


    Gruß
    Konni