portsentry
и
http://www.lissyara.su/?id=1069
1) портсекурити работает, но письма приходят не в koi8-r, как это поправить ?
2) что дописать в скрипте (по второй статье), чтобы на email тоже уведомления приходили ?

portsentry ника не влияет на кодировку писем. :-)selinia писал(а):собственно решила всё-же пересобрать ядро и включить firewall, поставила:
portsentry
и
http://www.lissyara.su/?id=1069
1) портсекурити работает, но письма приходят не в koi8-r, как это поправить ?
2) что дописать в скрипте (по второй статье), чтобы на email тоже уведомления приходили ?
Код: Выделить всё
Mar 9 16:15:11 xxx sshd[3624]: Invalid user dodik from xx.xx.x.xx
Mar 9 16:15:11 xxx sshd[3624]: error: PAM: authentication error for illegal user dodik from xx.xx.x.xx
Mar 9 16:15:11 xxx sshd[3624]: Failed keyboard-interactive/pam for invalid user dodik from xx.xx.x.xx port 1562 s
Mar 8 16:09:24 xxx sshd[63836]: Invalid user admin from 61.66.214.15
Код: Выделить всё
cat /tmp/auth.log | \
grep "Invalid user" | awk '{print $10}' | sort | uniq -c | sort |
{
Код: Выделить всё
cat /tmp/auth.log | \
grep "Failed" | awk '{print $11}' | sort | uniq -c | sort |
{
Код: Выделить всё
selinia / $ sudo cat /var/log/auth.log
Mar 9 21:21:18 sshd[23667]: Invalid user lynx from 213.203.143.29
Mar 9 21:21:19 sshd[23669]: Invalid user joomla from 213.203.143.29
Mar 9 21:21:21 sshd[23671]: Invalid user mambo from 213.203.143.29
Mar 9 21:21:26 sshd[23673]: Invalid user mail from 213.203.143.29
Mar 9 21:21:31 sshd[23675]: Invalid user kim from 213.203.143.29
Mar 9 21:21:36 sshd[23677]: Invalid user xchat from 213.203.143.29
Mar 9 21:21:37 sshd[23679]: Invalid user kim from 213.203.143.29
Mar 9 21:21:39 sshd[23681]: Invalid user xchat from 213.203.143.29
Mar 9 21:21:44 sshd[23733]: Invalid user guest from 213.203.143.29
Mar 9 21:21:49 sshd[23735]: Invalid user guest from 213.203.143.29
Mar 9 21:21:50 sshd[23737]: Invalid user localhost from 213.203.143.29
Mar 9 21:21:51 sshd[23739]: Invalid user asteriks from 213.203.143.29
Mar 9 21:21:53 sshd[23741]: Invalid user asterix from 213.203.143.29
selinia / $ cd /usr/script/work/
selinia /usr/script/work $ sudo ./ipsecurity.sh
selinia /usr/script/work $ sudo ipfw list
00001 deny ip from 213.203.143.29 to me
00002 deny ip from 0.128.7.40 to any
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
65000 allow ip from any to any
65535 allow ip from any to any
selinia /usr/script/work $
Код: Выделить всё
add 1001 reject log tcp from any to any tcpflags fin, syn, rst, psh, ack, urg
add 1002 reject log tcp from any to any tcpflags !fin, !syn, !rst, !psh, !ack, !urg
add 1003 reject log tcp from any to any not established tcpflags fin
add 1004 deny log ip from any to any not verrevpath in
add 1005 allow ip from any to any setup limit src-addr 10
:::