Автор Тема: О чём говорят логи? Журналы и т.п.?  (Прочитано 36368 раз)

Оффлайн МШ

  • Давно тут
  • **
  • Сообщений: 492
  • Ковчег
Вопросы по sshd (и iptables).

Читал сейчас логи. Много думал;).

Oct  4 13:08:49 nick sshd[8913]: error: Could not load host key: /etc/ssh/ssh_host_key
Oct  4 13:08:49 nick sshd[8913]: Unable to check blacklist for host key 80:2a:4a:5a:d7:e9:23:39:a2:b2:dd:69:51:a9:f9:43
Oct  4 13:08:49 nick sshd[8913]: Unable to check blacklist for host key c6:d0:21:a8:f2:79:24:89:ca:a1:81:55:1b:3d:b9:88
Oct  4 13:08:58 nick sshd[8913]: pam_tcb(sshd:auth): Authentication passed for ----- from (uid=0)
Oct  4 13:08:58 nick sshd[8913]: Accepted password for ----- from ----- port 45482 ssh2
Oct  4 13:08:58 nick sshd[8913]: pam_tcb(sshd:session): Session opened for ------ by (uid=0)
Oct  4 13:10:12 nick sshd[8913]: pam_tcb(sshd:session): Session closed for ------
Oct  4 13:10:16 nick sshd[9011]: error: Could not load host key: /etc/ssh/ssh_host_key
Oct  4 13:10:16 nick sshd[9011]: Unable to check blacklist for host key 80:2a:4a:5a:d7:e9:23:39:a2:b2:dd:69:51:a9:f9:43
Oct  4 13:10:16 nick sshd[9011]: Unable to check blacklist for host key c6:d0:21:a8:f2:79:24:89:ca:a1:81:55:1b:3d:b9:88
Oct  4 13:10:21 nick sshd[9011]: pam_tcb(sshd:auth): Authentication passed for ------- from (uid=0)
Oct  4 13:10:21 nick sshd[9011]: Accepted password for ------ from ------ port 45483 ssh2
Oct  4 13:10:21 nick sshd[9011]: pam_tcb(sshd:session): Session opened for ------ by (uid=0)
Oct  4 13:11:41 nick sshd[9011]: pam_tcb(sshd:session): Session closed for ------
Это я заходил. С первой строчкой разобрался (случайно пропустил в sshd_config строчку с одним из HostKey - не изменил путь).
1. Почему порт отличный от 22? И при этом меняется.
2. Почему при политике в iptables облома всех портов, кроме указанных (и кроме соединений инициированных с моей стороны) - оно пропускает данные соединения? iptables достаточно большой - весь приводить не буду. Может быть все так и должно быть?;)
3. Что значит "Unable to check blacklist for"? Перевести-то перевел, но что это означает применительно к данной ситуации?

Еще кусок лога (кто-то ломился, однако;))
Oct  4 15:51:06 nick sshd[11783]: reverse mapping checking getaddrinfo for ----- failed - POSSIBLE BREAK-IN ATTEMPT!
Oct  4 15:51:06 nick sshd[11783]: UNKNOWN USER from ------
Oct  4 15:51:06 nick sshd[11786]: input_userauth_request: UNKNOWN USER
Oct  4 15:51:06 nick sshd[11783]: pam_tcb(sshd:auth): Authentication failed for UNKNOWN USER from (uid=0)
Oct  4 15:51:08 nick sshd[11783]: Failed password for UNKNOWN USER from ------- port 46220 ssh2
Oct  4 15:51:08 nick sshd[11786]: Received disconnect from -------: 11: Bye Bye
1. Что значит первая строчка? То, что поссибле попытка взлома - это я понял.
2. Последняя строчка означает, что соединение с sshd было установлено, но дальше не прошло ибо unknown user, поэтому bye-bye. Правильно?
3. UNKNOWN USER - это, как я понимаю, логин, который системе не известен. Так? А как узнать какой логин вводили?

Oct  5 06:33:45 nick sshd[1698]: Did not receive identification string from -----
А это значит, что соединение разорвано до того, как юзер ввел логин/пароль?

Спасибо.

_____________________________________________________________
Действующая тема: http://forum.altlinux.org/index.php/topic,1688.msg25526.html#msg25526
« Последнее редактирование: 19.11.2011 13:28:46 от МИНЗДРАВ »

Оффлайн dottedmag

  • /usr/sbin/control
  • *******
  • Сообщений: 235
Re: Вопросы по sshd (и iptables).
« Ответ #1 : 05.10.2008 03:12:50 »
1. Почему порт отличный от 22? И при этом меняется.

Это основы TCP: клиент при открытии сокета садится на какой-то порт на своей машине и с него шлёт пакеты. Так что это порт на машине клиента.

Подумайте: как бы без этого механизма ssh знал, куда слать ответные пакеты, если соединений больше одного?

2. Почему при политике в iptables облома всех портов, кроме указанных (и кроме соединений инициированных с моей стороны) - оно пропускает данные соединения? iptables достаточно большой - весь приводить не буду. Может быть все так и должно быть?;)

Да, так и должно быть. См. выше

3. Что значит "Unable to check blacklist for"? Перевести-то перевел, но что это означает применительно к данной ситуации?

Недавно в Debian обнаружили уязвимость в OpenSSL, которая, в частности, выражается в том, что OpenSSH, работающий с "кривой" OpenSSL создаёт очень небольшое количество разных криптоключей.

Для проверки, что "слабые" ключи не используются, в дистрибутивы быстро включили утилиту ssh-blacklist (написанную, кстати, Димой Левиным из ALT Linux Team), которая проверяет ключи по списку "слабых".

Сообщение "unable to check blacklist", означает, что эта утилита не может проверить присланный ключ на "слабость" - или пакет с чёрным списком ключей не стоит на машине, или просто утилита не справляется.

Если это сервер с альтом, то можно проигнорировать - в альте слабые ключи никогда не создавались.
Debian Lenny

Оффлайн dottedmag

  • /usr/sbin/control
  • *******
  • Сообщений: 235
Re: Вопросы по sshd (и iptables).
« Ответ #2 : 05.10.2008 03:16:32 »
1. Что значит первая строчка? То, что поссибле попытка взлома - это я понял.
2. Последняя строчка означает, что соединение с sshd было установлено, но дальше не прошло ибо unknown user, поэтому bye-bye. Правильно?
3. UNKNOWN USER - это, как я понимаю, логин, который системе не известен. Так? А как узнать какой логин вводили?

1. Клиент сидит на IP-шнике, для которого нет обратной зоны в DNS.

2. Юзер предоставил пароль, но UNKNOWN USER ssh не знает, поэтому соединение закрыл.

3. Скорее всего логин вообще не был предоставлен, а клиент пошёл сразу пробовать пароль. Это место лучше уточнить в спецификации SSH-протокола.

Oct  5 06:33:45 nick sshd[1698]: Did not receive identification string from -----
А это значит, что соединение разорвано до того, как юзер ввел логин/пароль?

До того, как клиент SSH предоставил identification string - обычно там версия SSH-клиента. Т.е. соединение разорвано сразу после установления.
Debian Lenny

Оффлайн МШ

  • Давно тут
  • **
  • Сообщений: 492
  • Ковчег
Re: Вопросы по sshd (и iptables).
« Ответ #3 : 05.10.2008 06:49:11 »
1. Почему порт отличный от 22? И при этом меняется.
Это основы TCP: клиент при открытии сокета садится на какой-то порт на своей машине и с него шлёт пакеты. Так что это порт на машине клиента.
Понял. А почему оно может не дропать новое входящее соединение, появившееся в течение менее, чем 60 секунд, по порту 22?

Цитировать
2. Почему при политике в iptables облома всех портов, кроме указанных (и кроме соединений инициированных с моей стороны) - оно пропускает данные соединения? iptables достаточно большой - весь приводить не буду. Может быть все так и должно быть?;)
Да, так и должно быть. См. выше
А вот тут не понятно. Как я понимаю процесс: сначала удаленный компьютер посылает пакет на порт 22, который имеет статус NEW. Но этот вопрос я уже поднял здесь: http://forum.altlinux.org/index.php/topic,318.0.html
На мандриве оно работало. Т.е. если я в течение 60 секунд после разрыва соединения начинаю долбиться через ssh, то соединение не устанавливалось.

Цитировать
3. Что значит "Unable to check blacklist for"? Перевести-то перевел, но что это означает применительно к данной ситуации?
Недавно в Debian обнаружили уязвимость в OpenSSL, которая, в частности, выражается в том, что OpenSSH, работающий с "кривой" OpenSSL создаёт очень небольшое количество разных криптоключей.
Понятно. Лучше подстрахуюсь;).

1. Клиент сидит на IP-шнике, для которого нет обратной зоны в DNS.
2. Юзер предоставил пароль, но UNKNOWN USER ssh не знает, поэтому соединение закрыл.
3. Скорее всего логин вообще не был предоставлен, а клиент пошёл сразу пробовать пароль. Это место лучше уточнить в спецификации SSH-протокола.
1. Понятно.
2. А как сделать, чтобы он писал логин, который был введен юзером? В мандриве в каком-то контексте упоминался логин.
3. Понятно. Хотя, если я правильно понял, то при попытке "ssh 1.2.3.4"  sshd предлагает ввести пароль рута. Т.к. вход под рутом у меня отключен, то он пишет, что юзер не входит в список допущенных:
Oct  5 13:30:37 nick sshd[21309]: User root from ------ not allowed because none of user's groups are listed in AllowGroups
Oct  5 13:30:37 nick sshd[21312]: input_userauth_request: UNKNOWN USER
Oct  5 13:30:37 nick sshd[21309]: Failed none for UNKNOWN USER from ----- port 52546 ssh2
Oct  5 13:30:39 nick sshd[21309]: pam_tcb(sshd:auth): Authentication failed for UNKNOWN USER from (uid=0)
Oct  5 13:30:40 nick sshd[21309]: Failed password for UNKNOWN USER from ------ port 52546 ssh2
Oct  5 13:30:41 nick sshd[21309]: pam_tcb(sshd:auth): Authentication failed for UNKNOWN USER from (uid=0)
Oct  5 13:30:43 nick sshd[21309]: Failed password for UNKNOWN USER from ----- port 52546 ssh2
Oct  5 13:30:44 nick sshd[21309]: pam_tcb(sshd:auth): Authentication failed for UNKNOWN USER from (uid=0)
Oct  5 13:30:46 nick sshd[21309]: Failed password for UNKNOWN USER from ---- port 52546 ssh2
Oct  5 13:30:46 nick sshd[21312]: Connection closed by -----
Кстати, здесь логин упоминается. Если я правильно понимаю. А вот пробовал сейчас зайти сам к себе через ssh user@1.2.3.4 - то, что пытались зайти под "user" в логи не записалось.

Oct  5 06:33:45 nick sshd[1698]: Did not receive identification string from -----
А это значит, что соединение разорвано до того, как юзер ввел логин/пароль?
До того, как клиент SSH предоставил identification string - обычно там версия SSH-клиента. Т.е. соединение разорвано сразу после установления.
[/quote]
Понятно.

Спасибо.

Оффлайн МШ

  • Давно тут
  • **
  • Сообщений: 492
  • Ковчег
Re: Вопросы по sshd (и iptables).
« Ответ #4 : 06.10.2008 03:47:18 »
Вопрос в рамках сабжа, имхо.
Пытаюсь сейчас к себе подключиться. Стараюсь запустить тот же konqeuror и имею следующее:
$ssh -Y ------.no-ip.org
------.no-ip.org's password:
Warning: No xauth data; using fake authentication data for X11 forwarding.
Last login: Mon Oct  6 10:35:06 2008 from --------------
$ konqueror
Invalid MIT-MAGIC-COOKIE-1 keykonqueror: cannot connect to X server localhost:10.0

Что такое и куда копать? Поиск в инете особо много информации не дал. В основном не русскоязычная.

ЗЫ Конфиги взяты с мандривы, где все работало.

PPS РЕШЕНО!
« Последнее редактирование: 28.08.2011 19:15:33 от МИНЗДРАВ »

Оффлайн BSerge

  • Завсегдатай
  • *
  • Сообщений: 10
Журнал работы KPPP
« Ответ #5 : 23.10.2008 19:36:00 »
У кого он работает? Подключаюсь к интернет через подключение по диалапу (KPPP), все отлично. Открываю журнал работы - он пустой. Либо я не знаю как им пользоваться либо он не работает, кто подскажет?

Оффлайн Vitls

  • Глобальный модератор
  • *****
  • Сообщений: 372
  • Идиотизм вечен!
    • Linux. OpenSource. Life.
    • Email
Re: Журнал работы KPPP
« Ответ #6 : 23.10.2008 19:53:04 »
Журнал сначала нужно включить галкой, а потом уже давить кнопку соединения.
Дело не в том как болезнь вылечить.
Дело в том как других заразить.

Оффлайн МШ

  • Давно тут
  • **
  • Сообщений: 492
  • Ковчег
О чём говорят логи?
« Ответ #7 : 01.11.2008 23:44:46 »
      Вопрос по отчету по sshd

Есть пара таких строк:
Received disconnect:
    11: Bye Bye : 2 Time(s)
...
User nobody not allowed because shell /dev/null is not executable : 1 time(s)
...
Почему у меня 2 дисконекта, хотя никого по отчету не залогинилось?
Что значит строка с "User nobody..."?
« Последнее редактирование: 25.08.2011 22:43:06 от МИНЗДРАВ »

Alexei_VM

  • Гость
Re: Вопрос по отчету по sshd
« Ответ #8 : 01.11.2008 23:53:15 »
Что значит строка с "User nobody..."?

(вход) Пользователя nobody не разрешен потому что оболочка /dev/null не может быть запущена.

Оффлайн AnWa

  • Давно тут
  • **
  • Сообщений: 152
Что за письма мне приходят от рута??
« Ответ #9 : 17.12.2008 09:01:52 »
From root@localhost.localdomain  Sat Dec 13 19:04:31 2008
Return-Path: <root@localhost.localdomain>
X-Original-To: root
Delivered-To: root@localhost.localdomain
Received: by localhost.localdomain (Postfix, from userid 0)
        id 743F4343A3; Sat, 13 Dec 2008 19:04:31 +0600 (ALMT)
To: root@localhost.localdomain
Subject: [osec] Daily security check
Message-Id: <20081213130431.743F4343A3@localhost.localdomain>
Date: Sat, 13 Dec 2008 19:04:31 +0600 (ALMT)
From: root@localhost.localdomain (System Administrator)

Init database for /bin ...
Init database for /sbin ...
Init database for /lib ...
Init database for /lib64 ...
Init database for /usr/bin ...
Init database for /usr/sbin ...
Init database for /usr/lib ...
Init database for /usr/lib64 ...
Init database for /usr/X11R6/bin ...
Init database for /usr/X11R6/lib ...
Init database for /usr/games ...
Init database for /usr/libexec ...

This is a report generated by osec at 'Sat Dec 13 19:04:31 ALMT 2008'

-- PLEASE PAY ATTENTION TO --
New dangerous files :
        - /bin/mount is suid(root)
        - /bin/ping is suid(root)
        - /bin/ping6 is suid(root)
        - /bin/su is suid(root)
        - /bin/umount is suid(root)
        - /sbin/mount.cifs is suid(root)
        - /sbin/smbmnt is suid(root)
        - /sbin/umount.cifs is suid(root)
        - /sbin/umount.smbfs is suid(root)
        - /usr/bin/at is sgid(crontab)
        - /usr/bin/cancel-cups is sgid(lp)
        - /usr/bin/crontab is sgid(crontab)
        - /usr/bin/gpg is sgid(_gnupg)
        - /usr/bin/lp-cups is sgid(lp)
        - /usr/bin/lpoptions is sgid(lp)
        - /usr/bin/lppasswd is sgid(lp)
        - /usr/bin/lpq-cups is sgid(lp)
        - /usr/bin/lpr-cups is sgid(lp)
        - /usr/bin/lprm-cups is sgid(lp)
        - /usr/bin/lpstat-cups is sgid(lp)
        - /usr/bin/netlist is sgid(proc)
        - /usr/bin/passwd is sgid(shadow)
        - /usr/bin/slocate is sgid(slocate)
        - /usr/bin/ssh-agent is sgid(sshagent)
        - /usr/bin/sudo is suid(root)
        - /usr/bin/wall is sgid(tty)
        - /usr/bin/write is sgid(tty)
        - /usr/lib/ahttpd/chkpwd is sgid(shadow)
        - /usr/lib/amanda/calcsize is suid(root)
        - /usr/lib/amanda/dumper is suid(root)
        - /usr/lib/amanda/killpgrp is suid(root)
        - /usr/lib/amanda/planner is suid(root)
        - /usr/lib/amanda/rundump is suid(root)
        - /usr/lib/amanda/runtar is suid(root)
        - /usr/lib/chkpwd/tcb_chkpwd is sgid(shadow)
        - /usr/lib/squid/pam_auth is sgid(auth)
        - /usr/lib/squid/pinger is suid(root)
        - /usr/libexec/postfix/postqueue/postqueue is sgid(postdrop)
        - /usr/sbin/amcheck is suid(root)
        - /usr/sbin/postdrop is sgid(postdrop)


From root@localhost.localdomain  Sun Dec 14 16:57:09 2008
Return-Path: <root@localhost.localdomain>
X-Original-To: root
Delivered-To: root@localhost.localdomain
Received: by localhost.localdomain (Postfix, from userid 0)
        id 63A2E3485F; Sun, 14 Dec 2008 16:57:09 +0600 (ALMT)
To: root@localhost.localdomain
From: user@localhost.localdomain
Subject: *** SECURITY information for localhost.localdomain ***
Message-Id: <20081214105709.63A2E3485F@localhost.localdomain>
Date: Sun, 14 Dec 2008 16:57:09 +0600 (ALMT)

localhost.localdomain : Dec 14 16:57:09 : user : user NOT in sudoers ; TTY=pts/1 ; PWD=/home/user ; USER=root ; COMMAND=/sbin/shutdown -h now

From root@localhost.localdomain  Sun Dec 14 16:57:15 2008
Return-Path: <root@localhost.localdomain>
X-Original-To: root
Delivered-To: root@localhost.localdomain
Received: by localhost.localdomain (Postfix, from userid 0)
        id 3E57B3485F; Sun, 14 Dec 2008 16:57:15 +0600 (ALMT)
To: root@localhost.localdomain
From: user@localhost.localdomain
Subject: *** SECURITY information for localhost.localdomain ***
Message-Id: <20081214105715.3E57B3485F@localhost.localdomain>
Date: Sun, 14 Dec 2008 16:57:15 +0600 (ALMT)

localhost.localdomain : Dec 14 16:57:15 : user : user NOT in sudoers ; TTY=pts/1 ; PWD=/home/user ; USER=root ; COMMAND=/sbin/shutdown -h now

From root@localhost.localdomain  Tue Dec 16 10:46:34 2008
Return-Path: <root@localhost.localdomain>
X-Original-To: root
Delivered-To: root@localhost.localdomain
Received: by localhost.localdomain (Postfix, from userid 0)
        id F0A063488E; Tue, 16 Dec 2008 10:46:33 +0600 (ALMT)
To: root@localhost.localdomain
Subject: [osec] Daily security check
Message-Id: <20081216044633.F0A063488E@localhost.localdomain>
Date: Tue, 16 Dec 2008 10:46:33 +0600 (ALMT)
From: root@localhost.localdomain (System Administrator)

Processing /bin ...
Processing /sbin ...
Processing /lib ...
Processing /lib64 ...
Processing /usr/bin ...
Processing /usr/sbin ...
Processing /usr/lib ...
Processing /usr/lib64 ...
Processing /usr/X11R6/bin ...
Processing /usr/X11R6/lib ...
Processing /usr/games ...
Processing /usr/libexec ...

This is a report generated by osec at 'Tue Dec 16 10:46:33 ALMT 2008'

New files added to control:
        - /usr/bin/mc
        - /usr/bin/mcedit
        - /usr/bin/mcmfmt
        - /usr/bin/mcview
        - /usr/lib/libslang.so.1
        - /usr/lib/libslang.so.1.4.9
        - /usr/lib/mc
        - /usr/lib/mc/cons.saver
        - /usr/lib/menu/mc

From root@localhost.localdomain  Wed Dec 17 11:56:01 2008
Return-Path: <root@localhost.localdomain>
X-Original-To: root
Delivered-To: root@localhost.localdomain
Received: by localhost.localdomain (Postfix, from userid 0)
        id 6F22034869; Wed, 17 Dec 2008 11:56:01 +0600 (ALMT)
To: root@localhost.localdomain
Subject: [osec] Daily security check
Message-Id: <20081217055601.6F22034869@localhost.localdomain>
Date: Wed, 17 Dec 2008 11:56:01 +0600 (ALMT)
From: root@localhost.localdomain (System Administrator)

Processing /bin ...
Processing /sbin ...
Processing /lib ...
Processing /lib64 ...
Processing /usr/bin ...
Processing /usr/sbin ...
Processing /usr/lib ...
Processing /usr/lib64 ...
Processing /usr/X11R6/bin ...
Processing /usr/X11R6/lib ...
Processing /usr/games ...
Processing /usr/libexec ...

This is a report generated by osec at 'Wed Dec 17 11:56:01 ALMT 2008'

New files added to control:
        - /usr/bin/gpg-error
        - /usr/bin/icecast
        - /usr/bin/idn
        - /usr/lib/libcurl.so.4
        - /usr/lib/libcurl.so.4.0.1
        - /usr/lib/libexslt.so.0
        - /usr/lib/libexslt.so.0.8.13
        - /usr/lib/libgcrypt.so.11
        - /usr/lib/libgcrypt.so.11.2.3
        - /usr/lib/libgpg-error.so.0
        - /usr/lib/libgpg-error.so.0.3.1
        - /usr/lib/libidn.so.11
        - /usr/lib/libidn.so.11.5.28
        - /usr/lib/libogg.so.0
        - /usr/lib/libogg.so.0.5.3
        - /usr/lib/libspeex.so.1
        - /usr/lib/libspeex.so.1.4.0
        - /usr/lib/libtheora.so.0
        - /usr/lib/libtheora.so.0.2.0
        - /usr/lib/libvorbis.so.0
        - /usr/lib/libvorbis.so.0.4.0
        - /usr/lib/libvorbisenc.so.2
        - /usr/lib/libvorbisenc.so.2.0.3
        - /usr/lib/libvorbisfile.so.3
        - /usr/lib/libvorbisfile.so.3.2.0
        - /usr/lib/libxml2.so.2
        - /usr/lib/libxml2.so.2.7.2
        - /usr/lib/libxslt.so.1
        - /usr/lib/libxslt.so.1.1.24
Сабж?

Оффлайн Const

  • Глобальный модератор
  • *****
  • Сообщений: 2 653
  • Даже у плохого модератора есть свои плюсы…
Так вроде бы в теле письма всё честно написано :)
Приходит от соответствующей службы. А вам, потому что первый пользователь == администратор.

Оффлайн AnWa

  • Давно тут
  • **
  • Сообщений: 152
А что мне с этим делать?

Оффлайн Const

  • Глобальный модератор
  • *****
  • Сообщений: 2 653
  • Даже у плохого модератора есть свои плюсы…
Можете ничего не делать.
А можете принять к сведению :)

Drool

  • Гость
А что мне с этим делать?

Читать. Если Вы ничего не удаляли/устанавливали/обновляли, а в письме видите изменения - значит Вас ломанули ;)

P.S. Это служба osec работает.

Оффлайн RedOct

  • Завсегдатай
  • *
  • Сообщений: 14
    • Email
единственную для меня вменяемую инфу поиск выплюнул в виде http://sisyphus.ru/srpm/Sisyphus/osec/spec
где можно поподробнеее почитаь о сиём покете: а именно настройке адреса куда он будет слать отчёты.
на wiki описания воопще нет к сожалению.