linux user group brescia

At 11:31, giovedì 25 maggio 2006, Davide Arrigo wrote:

> Ciao, se non ricordo male puoi usare metalog
> http://metalog.sourceforge.net/ Me lo aveva consigliato Bonera, dev'esserci
> da qualche parte la possibilità di fare un'azione se la tua regexp sul file
> di log verifica alcuni tentativi di accesso non a buon fine. Una action
> potrebbe essere aggiungere una regola di iptables che rigetti tutte le
> connessioni da quell'IP.
> Ho un ricordo fumoso e lontano però, avevo fatto una cosa del genere su un
> server della scuola.

Metalog me l'aveva a suo tempo suggerito il Gelmini, quindi gratta gratta si 
arriva sempre al camuno pazzo :D

Questa è l'impostazione che uso per bloccare gli IP in /etc/metalog.conf:

Illegal SSH user:
  program  = "sshd"
  regex    = "Illegal user"
  command  = "/usr/local/sbin/illegal_ssh_user.sh"
  logdir   = "/var/log/auth"


E questo è lo script:

cat /usr/local/sbin/illegal_ssh_user.sh
#!/bin/sh

RECIPIENT="michele a bonera.biz"
FROM="metalog a bonera.biz"
SUBJECT="Illegal SSH user"
IP=`echo $3 | cut -d: -f 4`
BODY="Illegal SSH user Login\nBlocking ip $IP\n\n"
BODY="${BODY}Date: $1\n"
BODY="${BODY}Program: $2\n"
BODY="${BODY}Message: $3\n"
BODY="${BODY}\n---------------------------------\n"


iptables -A INPUT -s $IP -j DROP
whois $IP > /tmp/whois

( echo -e $BODY ; cat /tmp/whois ) | mail -s "$SUBJECT" -a "From: $FROM" \ 
$RECIPIENT

In questo caso io blocco chiunque sbagli la password, indipendentemente 
dall'IP di provenienza. Io non la sbaglio mai, non perchè sia bravo, ma 
perchè utilizzo l'autenticazione con la chiave ;)

Saludos,
-- 
Michele Bonera
www.bonera.biz