Välkommen till linuxportalen.se!

Linuxportalen.se är Sveriges största och aktivaste webbplats för användare av öppen- och fri programvara.

Du besöker Linuxportalen.se som gäst vilket begränsar din möjlighet att använda webbplatsens alla funktioner. Genom att registera dig som medlem får du inte bara möjlighet att söka bland webbplatsens innehåll, skapa nya och delta i befintliga diskussioner, skapa din egen blogg, kommunicera med andra medlemmar genom privata meddelanden och delta i omröstningar. Du får också tillgång till Veckans Kadavro - en seriestrip unikt skapad för Linuxportalen.se!

Registeringen sker snabbt och är helt kostnadsfri - tveka inte, bli medlem idag!

Logfiler

Skrivet av danno den 28 September, 2006 - 11:50

Hej!
Vet någon i vilkalogfiler jag ska titta i för att upptäcka obehörig användning?

Jag har hittat auth.log, där man ser inloggningsförsök.
Går det att spåra vad användare har haft för sig, typ deletade filer?

mvh
danno

‹ MySQL dummar sig! Serverbackup ›

Alternativ för kommentarvisning

Välj ditt önskade sätt att visa kommentarerna och klicka på "Spara" för att verkställa dina ändringar.

dholms bild
Skrivet av dholm den 28 September, 2006 - 14:03.

Beror på var den obehöriga användningen kommer ifrån. Din webserver, ssh, telnet osv. De flesta program har sin egen logfil för övriga kolla i din systemlog, normalt /var/log/messages eller /var/log/everything/current

--
Don’t take life too seriously, you won’t get out alive.

-- The trouble with programmers is that you can never tell what a programmer is doing until it’s too late.

iaidokas bild
Skrivet av iaidoka den 28 September, 2006 - 16:07.

Och är din dator haxxorcraxxorad så lär du inte se något i loggarna heller, om de har gjort ett halvdant eller bättre jobb.

---
Portalen heter Suseportalen, portalen har alltid hetat Suseportalen.

Test.

beautifoes bild
Skrivet av beautifoe den 29 September, 2006 - 06:29.

Lite "off topic", men av ren nyfikenhet kollade jag igenom auth.log på min ganska så nya server, och den var fullständigt överfull av misslyckade inloggningsförsök via SSH. Något jag absolut inte väntat mig eftersom jag inte direkt annonserar mitt IP-nummer. Är detta något att noja över eller är det bara slumpförsök och inget att bry sig om? Kommer att byta port (hade problem med att logga in utanför lanet utan att köra standardporten, men det får jag försöka fixa igen) så får vi se om det medför någon förändring.

Uppdatering: Vid närmare inspektion visar det sig att alla inloggningsförsök kommer från samma IP under c.a. en timmes tid med någon-några sekunders mellanrum. Hmmmm...

dannos bild
Skrivet av danno den 28 September, 2006 - 16:22.

Min gissning är att det är en av mina användare som varit klantig.
Alltså har någon lyckats ta bort en fil via windows utforskare.
I samba-loggarna verkar det bara finnas poster med öppning och stängning av sessioner.

Vi har ett program som är igång på flera klienter samtidigt, och skriver till ett stort antal datafiler hela tiden, kan detta "krascha" en fil utan vidare?

dholms bild
Skrivet av dholm den 28 September, 2006 - 19:06.

Du kan öka loggningsnivån för Samba för att få den att skriva ut mer detaljerad information.
Om en klient kraschar efter den tex trunkerat en fil så är sannolikt innehållet borta. Att bara många accessar filer samtidigt är inget problem.

--
Don’t take life too seriously, you won’t get out alive.

-- The trouble with programmers is that you can never tell what a programmer is doing until it’s too late.