Este log me parece um bruteforce em cima do seu SSH. Você está configurando o seu firewall para logar conexões SSH ao seu servidor. Isto é útil para você mesmo? Se você quer diminuir os bruteforce de SSH na sua máquina, você pode configurar portknocking ou mudar a porta do SSH. Mudar a porta do SSH pode gerar menos trabalho para seus usuários. Uma outra solução é usar autenticação apenas por chaves no seu SSH, em que o bruteforce não terá efeito nenhum.
On 9/21/07, Valdir josevaldirg@gmail.com wrote:
Vamos lá quem sabe os irmão não consegue descifrar o enigma.
Messagens: abaixo um exemplo que aparece no console do servidor e nos logs /var/log/messagens
Sep 20 09:10:21 server kernel: IN=eth1 OUT= MAC=00:1a:4d:98:1f:17:00:11:f5:3a:69:34:08:00 SRC=189.6.113.148 DST=192.168.1.3 LEN=60 TOS=0x10 PREC=0x00 TTL=53 ID=42522 DF PROTO=TCP SPT=1065 DPT=22 WINDOW=2144 RES=0x00 SYN URGP=0 Sep 20 09:10:26 server kernel: IN=eth1 OUT= MAC=00:1a:4d:98:1f:17:00:11:f5:3a:69:34:08:00 SRC=189.6.113.148 DST=192.168.1.3 LEN=60 TOS=0x10 PREC=0x00 TTL=53 ID=61520 DF PROTO=TCP SPT=1675 DPT=22 WINDOW=2144 RES=0x00 SYN URGP=0 Sep 20 09:10:30 server kernel: IN=eth1 OUT= MAC=00:1a:4d:98:1f:17:00:11:f5:3a:69:34:08:00 SRC=189.6.113.148 DST=192.168.1.3 LEN=60 TOS=0x10 PREC=0x00 TTL=53 ID=59113 DF PROTO=TCP SPT=2293 DPT=22 WINDOW=2144 RES=0x00 SYN URGP=0 Sep 20 09:10:35 server kernel: IN=eth1 OUT= MAC=00:1a:4d:98:1f:17:00:11:f5:3a:69:34:08:00 SRC=189.6.113.148 DST=192.168.1.3 LEN=60 TOS=0x10 PREC=0x00 TTL=53 ID=112 DF PROTO=TCP SPT=2916 DPT=22 WINDOW=2144 RES=0x00 SYN URGP=0 Sep 20 09:10:40 server kernel: IN=eth1 OUT= MAC=00:1a:4d:98:1f:17:00:11:f5:3a:69:34:08:00 SRC=189.6.113.148 DST=192.168.1.3 LEN=60 TOS=0x10 PREC=0x00 TTL=53 ID=29824 DF PROTO=TCP SPT=3531 DPT=22 WINDOW=2144 RES=0x00 SYN URGP=0 Sep 20 09:10:45 server kernel: IN=eth1 OUT= MAC=00:1a:4d:98:1f:17:00:11:f5:3a:69:34:08:00 SRC=189.6.113.148 DST=192.168.1.3 LEN=60 TOS=0x10 PREC=0x00 TTL=53 ID=41369 DF PROTO=TCP SPT=4159 DPT=22 WINDOW=2144 RES=0x00 SYN URGP=0 Sep 20 09:10:50 server kernel: IN=eth1 OUT= MAC=00:1a:4d:98:1f:17:00:11:f5:3a:69:34:08:00 SRC=189.6.113.148 DST=192.168.1.3 LEN=60 TOS=0x10 PREC=0x00 TTL=53 ID=25682 DF PROTO=TCP SPT=4783 DPT=22 WINDOW=2144 RES=0x00 SYN URGP=0 Sep 20 09:10:54 server kernel: IN=eth1 OUT= MAC=00:1a:4d:98:1f:17:00:11:f5:3a:69:34:08:00 SRC=189.6.113.148 DST=192.168.1.3 LEN=60 TOS=0x10 PREC=0x00 TTL=53 ID=29353 DF PROTO=TCP SPT=1423 DPT=22 WINDOW=2144 RES=0x00 SYN URGP=0 Sep 20 09:10:59 server kernel: IN=eth1 OUT= MAC=00:1a:4d:98:1f:17:00:11:f5:3a:69:34:08:00 SRC=189.6.113.148 DST=192.168.1.3 LEN=60 TOS=0x10 PREC=0x00 TTL=53 ID=17161 DF PROTO=TCP SPT=2051 DPT=22 WINDOW=2144 RES=0x00 SYN URGP=0 Sep 20 09:11:04 server kernel: IN=eth1 OUT= MAC=00:1a:4d:98:1f:17:00:11:f5:3a:69:34:08:00 SRC=189.6.113.148 DST=192.168.1.3 LEN=60 TOS=0x10 PREC=0x00 TTL=53 ID=61051 DF PROTO=TCP SPT=2636 DPT=22 WINDOW=2144 RES=0x00 SYN URGP=0 Sep 20 09:11:09 server kernel: IN=eth1 OUT= MAC=00:1a:4d:98:1f:17:00:11:f5:3a:69:34:08:00 SRC=189.6.113.148 DST=192.168.1.3 LEN=60 TOS=0x10 PREC=0x00 TTL=53 ID=3686 DF PROTO=TCP SPT=3269 DPT=22 WINDOW=2144 RES=0x00 SYN URGP=0
Sep 21 02:06:22 server kernel: IN=eth1 OUT= MAC=00:1a:4d:98:1f:17:00:11:f5:3a:69:34:08:00 SRC=190.11.30.142 DST=192.168.1.3 LEN=60 TOS=0x10 PREC=0x00 TTL=35 ID=1478 DF PROTO=TCP SPT=38390 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0 Sep 21 02:06:25 server kernel: IN=eth1 OUT= MAC=00:1a:4d:98:1f:17:00:11:f5:3a:69:34:08:00 SRC=190.11.30.142 DST=192.168.1.3 LEN=60 TOS=0x10 PREC=0x00 TTL=35 ID=1480 DF PROTO=TCP SPT=38390 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0 Sep 21 11:48:34 server kernel: IN=eth1 OUT= MAC=00:1a:4d:98:1f:17:00:11:f5:3a:69:34:08:00 SRC=202.109.73.34 DST=192.168.1.3 LEN=60 TOS=0x10 PREC=0x00 TTL=44 ID=47178 DF PROTO=TCP SPT=48933 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0 Sep 21 11:48:37 server kernel: IN=eth1 OUT= MAC=00:1a:4d:98:1f:17:00:11:f5:3a:69:34:08:00 SRC=202.109.73.34 DST=192.168.1.3 LEN=60 TOS=0x10 PREC=0x00 TTL=44 ID=47179 DF PROTO=TCP SPT=48933 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0 Sep 21 13:54:18 server kernel: IN=eth1 OUT= MAC=00:1a:4d:98:1f:17:00:11:f5:3a:69:34:08:00 SRC=70.46.119.34 DST=192.168.1.3 LEN=60 TOS=0x10 PREC=0x00 TTL=34 ID=18128 DF PROTO=TCP SPT=36729 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0
Comandos
[root@server log]# /usr/sbin/getsebool /usr/sbin/getsebool: SELinux is disabled [root@server log]#
[root@server log]# /usr/sbin/selinuxenabled; echo $? 1 [root@server log]#
# getenfoce -> este comando não tem aqui no server.
Não tenho NIS e nem LDAP instalado e tão pouco configurado.
Abraço
----- Original Message ----- From: "Rodrigo Barbosa" rodrigob@darkover.org To: "Valdir" josevaldirg@gmail.com; "Portuguese (Brazilian) CentOS mailing list" centos-pt-br@centos.org Sent: Wednesday, September 19, 2007 1:27 PM Subject: Re: [CentOS-pt-br] Centos 5.0 problematico.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
On Wed, Sep 19, 2007 at 12:37:52PM -0300, Valdir wrote:
Agora sobre o problemas que estou enfrentando com a versão 5.0 são os que já comentei acima, perda de login e senha, inumeras messagens quando algum usuario loga no ssh remotamente.
Quais mensagens ?
Não sei se esta alternativa de proteger o kernel com Selinux ficou legal, pois em outras distros não usa ele e funciona muito bem.
Eu acho que é ótimo termos o SeLinux. Especialmente o do CentOS 5, que é muito mais fácil de configurar do que os anteriores.
Execute os seguintes comandos, por favor:
# getsebool # selinuxenabled; echo $? # getenfoce
[root@server log]# /usr/sbin/getsebool /usr/sbin/getsebool: SELinux is disabled [root@server log]#
Sinceramente, os problemas que você está descrevendo não me parecem ser de SELinux.
Você usa NIS, LDAP ou algo do gênero ?
Por favor, manda mais dados sobre o seu setup.
Rodrigo Barbosa (Moderador) Lista centos-pt-br http://lists.centos.org/mailman/listinfo/centos-pt-br
-----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux)
iD8DBQFG8U3jpdyWzQ5b5ckRAu3EAKC6fDVg5J4fq48xwtgI/mYDOdff0gCfSjK9 pVkt38/n0JCXx6RfmGVQnmY= =XaM/ -----END PGP SIGNATURE-----
CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br