Hej!
Die Cron Geschichten sind mir jetzt klar. Das log AuthLog ist aber noch
voll von den anderen Einträgen:
Feb 20 21:11:12 vs2801 saslauthd[11066]: pam_unix(smtp:auth): check
pass; user unknown
Jede Logmeldung hat eine "Domäne". Bei Meldungen der Domäne "Auth" ist
bei dir offenbar konfiguriert, dass die Meldungen sowohl im allgemeinen
Log landen als auch im AuthLog. Beide Logmeldungen sind identisch und
bedeuten das selbe; die Aufteilung dient allein der Übersichtlichkeit,
es gilt entsprechend die Erläuterung für die identische Zeile im allg. Log.
(4) und hier sagt uns der saslauthd sogar, mit welchem Namen es versucht
wurde.
Er geht eine Liste durch wärend der ganzen Zeit. Etwa 10-20 deutsche
Namen plus einige technische Begiffe und ein paar Zahlenkombis. Darauf
checkt er dann einige Dutzend Passwörter. Nichts was darauf hinweist das
der "Angreifer" mich oder mein System kennt.
Das ist "üblich", auch bei SSH.
Ich kann mich Andreas nur beipflichten: Da sucht wohl jemand einen
Spamhost.
OK, Danke für eure Einschätzung.
Ich werde nochmal meine UserListe und deren Passwortstärke prüfen.
Das ist immer eine gute Idee (praktischerweise implementiert als
Policy-Enforcement am Passwortsetzungs-/Änderungsmechanismus).
Kann oder muss ich nocht irgdenwas tun?
Kann: Via Firewall die Anzahl der Verbindungen pro Zeit limitieren =>
Angreifer kann deutlich weniger Passwörter durchprobieren. Der
Sicherheitsgewinn ist, insb. in Relation zum Aufwand, wenn man sich
nicht sowieso schonmal damit befasst hat, wenn die Passwörter ohnehin
nichts einfaches sind, eher gering.
Beste Grüße
Fabian
_______________________________________________
Lug-dd maillist - Lug-dd@mailman.schlittermann.de
https://ssl.schlittermann.de/mailman/listinfo/lug-dd
