Menu
InformatiWeb Pro
  • Index
  • Admin système
  • Virtualisation

Connexion

Inscription Mot de passe perdu ?
US
  • Windows Server
    • WMS 2012
    • WS2012 R2
    • WS2016
  • Citrix
    • Citrix NetScaler Gateway
    • Citrix XenApp / XenDesktop
    • Citrix XenServer
  • VMware
    • VMware vSphere
    • VMware Workstation
  • Microsoft
    • Hyper-V
  • InformatiWeb Pro
  • Admin système
  • Linux
  • Détecter les attaques effectuées contre votre serveur grâce à Logwatch sous Debian / Ubuntu
  • Linux
  • 26 décembre 2014 à 13:34
  • InformatiWeb

Détecter les attaques effectuées contre votre serveur grâce à Logwatch sous Debian / Ubuntu

Logwatch est très simple à installer et pratique pour détecter les éventuelles attaques de pirates ou les éventuels erreurs produites par les services installés sur votre serveur.
En effet, Logwatch vous envoi un résumé de vos logs par e-mail et ce tous les jours.

Tutoriel testé sous Ubuntu 12.04 et Debian 7.7.0.

Note : Logwatch a besoin de Postfix pour vous envoyer les résumés par e-mail. Pour installer et configurer Postfix, basez-vous sur le tutoriel : Debian - Installer et sécuriser un serveur mails complet

Pour commencer, installer "logwatch".

Bash

apt-get install logwatch

Puis, modifiez le fichier "/usr/share/logwatch/default.conf/logwatch.conf" comme ceci :

Bash

MailTo = webmaster@votre-domaine.com
MailFrom = logwatch@votre-domaine.com

Les modifications seront prises en compte au prochain lancement de logwatch.
Note : Une tache cron "00logwatch" a été créé pour lancer "logwatch" tous les jours à la même heure.

Tous les jours, vous receverez un rapport similaire à ceci :

Plain Text

 ################### Logwatch x.x.x (xx/xx/xx) #################### 
        Processing Initiated: xxx xx xx xx:xx:xx xxxx
        Date Range Processed: yesterday
                              ( xxxx-xx-xx )
                              Period is day.
        Detail Level of Output: 0
        Type of Output/Format: mail / text
        Logfiles for Host: xxxxxxx
 ################################################################## 


 --------------------- dpkg status changes Begin ------------------------ 

 Installed:
    [nom du paquet]:[architecture cpu] x.xx-x

 Upgraded:
    [nom du paquet]:[architecture cpu] x:x.x.x... => x:x.x.x...

 ---------------------- dpkg status changes End ------------------------- 

 
 --------------------- httpd Begin ------------------------ 

 
 A total of xx sites probed the server 
    xx.xx.xx.xx
    xx.xx.xx.xx
    xx.xx.xx.xx
    xx.xx.xx.xx
    xx.xx.xx.xx
 
 Requests with error response codes
    400 Bad Request
       /une-mauvaise-requete.html: x Time(s)
    401 Unauthorized
       /une-page-restreinte.php: x Time(s)
    404 Not Found
       /une-page-inexistante.html: x Time(s)
    405 Method Not Allowed
       /methode-non-autorisee.jpg: x Time(s)
    408 Request Timeout
       null: x Time(s)
    500 Internal Server Error
       /: 1 Time(s)
    501 Not Implemented
       /: x Time(s)
 
 ---------------------- httpd End ------------------------- 

 
 --------------------- IMAP Begin ------------------------ 

 
 [IMAPd] Logout stats:
 ====================
                                    User | Logouts | Downloaded |  Mbox Size
 --------------------------------------- | ------- | ---------- | ----------
       un-compte-email@votre-domaine.com |       x |       xxxx |          x
 ---------------------------------------------------------------------------
                                                 x |       xxxx |          x
 
 
 
 ---------------------- IMAP End ------------------------- 

 
 --------------------- POP-3 Begin ------------------------ 

 
 
 [POP3] Login failures:
 =========================
                                                   Host (user) |          # 
 ------------------------------------------------------------- | -----------
               xx.xx.xx.xx (un-compte-email@votre-domaine.com) |           x
 ---------------------------------------------------------------------------
                                                                           x
 
 
 
 ---------------------- POP-3 End ------------------------- 

 
 --------------------- pam_unix Begin ------------------------ 

 xxxxxftpd:
    Unknown Entries:
       authentication failure; logname= uid=x euid=x tty=/dev/ftpdxxxxxx ruser=xxxxxx rhost=xxx.xxx.xxx.xxx  user=xxxxxx: x Time(s)
 
 su:
    Sessions Opened:
       xxxxx -> root: x Time(s)

 .....

 ---------------------- pam_unix End ------------------------- 

 
 --------------------- Postfix Begin ------------------------ 

       xx   Miscellaneous warnings  
 
    x.xxxK  Bytes accepted                               x,xxx
    x.xxxK  Bytes delivered                              x,xxx
 ========   ==================================================
 
       xx   Accepted                                    xx.xx%
       xx   Rejected                                    xx.xx%
 --------   --------------------------------------------------
       xx   Total                                      100.00%
 ========   ==================================================
 
       xx   5xx Reject relay denied                     xx.xx%
       xx   5xx Reject unknown user                     xx.xx%
 --------   --------------------------------------------------
       xx   Total 5xx Rejects                          100.00%
 ========   ==================================================
 
       xx   Connections             
       xx   Connections lost (inbound) 
       xx   Disconnections          
       xx   Removed from queue      
       xx   Delivered               
 
 
 ---------------------- Postfix End ------------------------- 
 
 
 --------------------- xxxxftpd-messages Begin -----------------------

 
 **Unmatched Entries**
 pam_unix(xxxxftpd:session): session opened for user xxxxxxxx by (uid=x)
 pam_unix(xxxxftpd:session): session closed for user xxxxxxxx
 
 ---------------------- xxxxftpd-messages End ------------------------


 --------------------- sasl auth daemon Begin ------------------------

 
 SASL Authentications failed xx Time(s)
 Service smtp (pam) - xx Time(s):
    Realm domaine.com - xx Time(s):
       User: compte@domaine.com - PAM auth error - xx Time(s):
 
 ...
 
 ---------------------- sasl auth daemon End ------------------------- 
 
 
 --------------------- SSHD Begin ------------------------
 
 Users logging in through sshd:
    xxxxxxxx:
       xx.xx.xx.xx (xx-xx-xx-xx.xxx.fai.com): 2 times
 
 ---------------------- SSHD End ------------------------- 
 
 
 --------------------- Syslog-ng Begin ------------------------ 

 
 Syslog-ng reloaded:		    x Time(s)
 
 ---------------------- Syslog-ng End ------------------------- 

 
 --------------------- Disk Space Begin ------------------------ 

 Filesystem      Size  Used Avail Use% Mounted on
 /dev/xxxx        xxG  x.xG   xxG  xx% /
 
 
 ---------------------- Disk Space End ------------------------- 

 
 ###################### Logwatch End #########################

Si vous ne recevez pas le mail de Logwatch (par exemple : à cause d'un problème avec votre serveur d'e-mails), vous pouvez lancer Logwatch manuellement, en tapant cette commande :
Note : Patientez quelques secondes pendant que Logwatch génère et envoi le rapport par e-mail.

Bash

/etc/cron.daily/00logwatch

Partager ce tutoriel

Partager
Tweet

A voir également

  • Debian / Ubuntu - Configurer un serveur DNS (BIND)

    Linux 12/12/2014

    Debian / Ubuntu - Configurer un serveur DNS (BIND)

  • Debian / Ubuntu - Monitoring réseau avec statistiques HTML

    Linux 12/9/2015

    Debian / Ubuntu - Monitoring réseau avec statistiques HTML

  • Ubuntu - Configurer un serveur LDAP et une interface Web pour le gérer

    Linux 15/1/2014

    Ubuntu - Configurer un serveur LDAP et une interface Web pour le gérer

  • Ubuntu - Installer et sécuriser un serveur SSH

    Linux 11/1/2014

    Ubuntu - Installer et sécuriser un serveur SSH

Commentaires

Vous devez être connecté pour pouvoir poster un commentaire

Donnez-nous votre avis

Contenu épinglé

  • Logiciels (Admin système)
  • Logiciels Linux
  • Nos programmes
  • Conditions générales
  • Donnez votre avis

Contact

  • Livre d'or
  • Support technique
  • Contact

® InformatiWeb-Pro.net - InformatiWeb.net 2008-2022 - © Lionel Eppe - Tous droits réservés.

Toute reproduction totale ou partielle de ce site est interdite et constituerait une contrefaçon sanctionnée par les articles L.335-2 et suivants du Code de la propriété intellectuelle.