Bei der DLD laufen die meisten Netzwerkdienste ueber den tcp_wrapper
/usr/sbin/tcpd.
Dem kann man ueber /etc/hosts.allow und /etc/hosts.deny beibringen,
alle Zugriffe mitzuloggen.
Hab ich zwar auch noch nicht gemacht, aber die Manpages zu hosts_options
und hosts_access haben einige Beispiele.
Karsten
On Mon, Sep 06, 1999 at 11:11:23PM +0200, E. Kuch wrote:
> Howha,
>
> Von wegen Kindermail! ;)
>
> Hab daīn bischen probiert:
> wenn du in der syslog.conf angibst
> "auth.* /var/log/logins"
> steht da zwar drin, wann sich root eingeloggt hat, die misslungenen
> userlogins auch,und su-versuche und -erfolge, fallsīs ein
> telnet/ftp-login war steht das noch zusaetzlich in /var/log/secure.
> Da steht dann auch, die IP, die sich eingeloggt hat.
> Von user-logging keine spur, mit syslogd IMHO so nicht moeglich.
>
> Ein Logfile, wie ich das jetzt haben will:
> tt.mm.jjjj user xy (IP) - loggte sich ueber [protokoll] ein
> tt.mm.jjjj user xy (IP) - fuehrte folgenden befehl aus: [befehl]
> tt.mm.jjjj user xy (IP) - ausgeloggt. Gesammtzeit: [Loginzeit]
> tt.mm.jjjj user yz (IP) - fehlerhafter login [protokoll] : user nicht
> vorhanden.
> tt.mm.jjjj user zz (IP) - fehlerhafter login [protokoll] : passwort falsch.
> tt.mm.jjjj user zz (IP) - fehlerhafter login [protokoll] : passwort falsch.
> tt.mm.jjjj user zz (IP) ACHTUNG 3x fehlerhafter login [protokoll] : passwort
> falsch.
>
> is nich! (falls jemand weis wie, bitte melden...muss nicht so sein wie
> beschrieben, dies waere nur das "nice to have".)
> Und richtig toll waeren dann noch richtiges user-accounting, und
> auswertungs-proggie. Mit user xy logins, mit link was er da so gemacht
> hat, wieviel mail fuer ihn ein und ausgegangen istvon wem an wen, bei
> ftp-logins auch noch den traffic. mit zusammenstellung des traffics
> Tag/woche/monat/jahr *tagtraeum* Das mit dem Mail oder ftp geht zwar
> mit extra programmen, aber komplett...nada.
> Die ganzen ISPs da draussen muessen doch dafuer eine loesung haben, oder?
>
> Was dem ganzen noch am naechsten kommt waere der Befehl "last".
> besser "last -a -x" -a, um lange domainnamen anzuzeigen -x um shutdown
> anzuzeigen
> mit "last [user]" kann man den bestimmten user auflisten.
> "who" ist nicht zu gebrauchen.
>
> Fuer fehlgeschlagene logins "lastb" benutzen. Wennīs sagt, dass das file
> btmp nicht da ist mit "touch /var/log/btmp" dieses erzeugen.
>
> ACHTUNG: last und blast darf bei mir ein user ausfuehren, ggf. rechte
> aendern.
>
> Du koenntest dir diese Ausgaben zwar so zusammenstricken:
>
> script:
> speicher ausgabe von last in datei x
> speicher ausgabe von lastb in datei y
> setze wtmp und btmp auf 0 byte
> drehe dateien x und y um, so dass 1.zeile letzte zeile
> haenge x und y an logins.log an
>
> aber damit gehen warscheinlich die loginzeiten (wie lange eingeloggt)
> floeten.
> Ausserdem steht da immer noch nirgens, ueber welches protokoll derjenige
> sich eingeloggt hat, geschweige denn welche befehle er ausgefuehrt hat.
> :(((
>
> Grunz,
> Eric
>
> --- --- ---
> Alle syntaktischen und semantischen Tippfehler sind beabsichtigt,
> und dienen nur als Test fuer den Leser.
> --- --- ---
> -----Original Message-----
> From: schuetze@math.tu-dresden.de <schuetze@math.tu-dresden.de>
> To: maillist@delix.de <maillist@delix.de>
> Date: Montag, 6. September 1999 09:58
> Subject: Re: [maillist] Userlogs
>
>
> >>
> >> Hallo,
> >>
> >> das ist zwar eine Kindermail, aber ich muss das schnell wissen. In
> >> welcher Datei wird eingetragen, welcher user sich wann wo eingeloggt
> >> hat? In var/log/sulog stehen ja nur die SU Versuche drin.
> >Hi,
> >
> >Stichwort /var/log/wtmp und last. Sicherlich kann man auch den syslogd
> >dazu veranlassen, S"AMTLICHE logins in /var/log/messages zu protokollieren.
> >Vielleicht findest Du in den man-pages, was Du in /etc/syslog.conf
> eintragen
> >mu"st.
> >
> >Ciao,
> > Torsten
> >--
> >Dr. Torsten Schuetze Dresden University of Technology
> >Phone: (+49 351) 463 4084 Department of Mathematics
> >Fax: (+49 351) 463 4268 Institute of Numerical Mathematics
> >E-mail: schuetze@math.tu-dresden.de D-01062 Dresden, Germany
> >WWW: http://www.math.tu-dresden.de/~schuetze
> >
> >
>
>
>
-- Karsten Hopp | Mail: karsten@delix.de delix Computer GmbH | UUNET POP Stuttgart | Tel: +49-711-621027-46 Schloss-Strasse. 98 | UUNET Vertriebspartner | Fax: +49-711-613590 D-70176 Stuttgart | Deutsche Linux D. - DLD | http://www.delix.de