Am 2004-08-07 20:21:11, schrieb Roland M. Kruggel: > Hallo Liste, > > in meiner /etc/hosts.allow habe ich folgenden Eintrag > > --snip > sshd: ALL: spawn (echo "Zugriff von %c auf %s "| mail -s "%d-Zugriff > von %c auf %s" root) > --snap > > Somit bekomme ich jedesmal eine Mail wenn sich jemand auf meinem > Server einloggt. > > Ich habe festgestellt das ich regen 'login-verkehr' auf den Server > habe. Und zwar von Leuten die ich nicht eingeladen habe. Es wird > also versucht hier zu häcken. > > Da procmail nach dem subject die Mails in ein extra Postfach > einsortiert habe ich einen relativ guten überblick über die > loginversuchen, aber nur wenn ich gerade nach email schaue. > Ausserdem werden alle loginversuche gemailt. > > Der Header der Mail sieht so aus: > --snip > sshd-Zugriff von 192.168.1.14 auf [EMAIL PROTECTED] > --snap > > Mein procmail Rezept sieht so aus: > --snip > :0: > * ^Subject: sshd-Zugriff* > .System.sshd/ > --snap > > Ich möchte jetzt zwei Sachen machen, wofür ich eure Hilfe brauche. > > a) ssh zugriffe von 192.168.1.14, 15, 22 sollen nicht dokumentiert > werden. Das sind nämlich meine eigenen Rechner.
:0: * ^Subject:.*(sshd-Zugriff) { * ! ^Subject:.*(192.168.1.14|192.168.1.15|192.168.1.22) .System.sshd/ } > b) Auf meine Arbeitsplatz 192.168.1.14 soll irgend ein Optisches und > Akkustisches Signal ertönen. Oder besser noch der eingebaute > Lautsprecher soll Alarm geben. Mach ne rule die "beep" ausführt... ...oder was mit text2speach wie "epos", "festival" oder "recite" ;-) Lezteres kann Dir dann die versuchten Zugriffe vorquasseln Ich verwende "festival" > Wer kann mir das helfen? > > > cu Greetings Michelle -- Linux-User #280138 with the Linux Counter, http://counter.li.org/ Michelle Konzack Apt. 917 ICQ #328449886 50, rue de Soultz MSM LinuxMichi 0033/3/88452356 67100 Strasbourg/France IRC #Debian (irc.icq.com)
signature.pgp
Description: Digital signature