Hi,
ich les hier immer mal wieder gerne und das Forum hat mir schon bei einigen Problemen
weitergeholfen. Da ich über die Suche nicht fündig geworden bin, hab ich mich halt
mal angemeldet.
Nun, es geht zunächst mal um logwatch, ich denke mal, die meinsten werden es kennen
und auch wissen, dass die Konfiguration ein wenig undurchsichtig ist. Mein Problem ist
nun, dass ich gerne auch die Firewall in meinen Logwatch-Report aufnehmen würde,
was ja auch kein Problem ist (Logfile = firewall in iptables.conf), aber ich würde das
Ganze am liebsten so konfigurieren, dass ich nur Portscans (oder sonstiges Ungewöhnliches)
angezeigt bekommen und nicht jeden Zugriff, denn sonst wird der Report ja schnell
sehr lang und unübersichtlich. Ich hab schon überlegt, diverse Ports, auf die häufig
(und legitim) zugriffen wird mit der ignore.conf auszuklammern, aber dafür habe ich
keine (mir nützliche) Doku gefunden. Vielleicht kann man auch das Script anpassen,
aber ich kenn mich da nicht so aus.
Der zweite Punkt ist, dass ich mir überlegt hab, ob man nicht, wie bei Denyhosts+SSH,
IP Adressen, von denen Portscans ausgehen, in die hosts.deny List aufnehmen könnte,
evtl. geht das ja schon mit Denyhosts?
Gruß
ich les hier immer mal wieder gerne und das Forum hat mir schon bei einigen Problemen
weitergeholfen. Da ich über die Suche nicht fündig geworden bin, hab ich mich halt
mal angemeldet.
Nun, es geht zunächst mal um logwatch, ich denke mal, die meinsten werden es kennen
und auch wissen, dass die Konfiguration ein wenig undurchsichtig ist. Mein Problem ist
nun, dass ich gerne auch die Firewall in meinen Logwatch-Report aufnehmen würde,
was ja auch kein Problem ist (Logfile = firewall in iptables.conf), aber ich würde das
Ganze am liebsten so konfigurieren, dass ich nur Portscans (oder sonstiges Ungewöhnliches)
angezeigt bekommen und nicht jeden Zugriff, denn sonst wird der Report ja schnell
sehr lang und unübersichtlich. Ich hab schon überlegt, diverse Ports, auf die häufig
(und legitim) zugriffen wird mit der ignore.conf auszuklammern, aber dafür habe ich
keine (mir nützliche) Doku gefunden. Vielleicht kann man auch das Script anpassen,
aber ich kenn mich da nicht so aus.
Der zweite Punkt ist, dass ich mir überlegt hab, ob man nicht, wie bei Denyhosts+SSH,
IP Adressen, von denen Portscans ausgehen, in die hosts.deny List aufnehmen könnte,
evtl. geht das ja schon mit Denyhosts?
Gruß