Hallo, ich habe ein IDS mit Snort installiert, dessen Log-Dateien von Swatch ausgewertet werden. Das funktioniert auch so weit. Ich möchte allerdings, dass das System nach mehrfach fehlgeschlagenem SSH-Login eine Warnung ausgibt, Mail schreibt oder so.. An den Paketen konnte ich nicht erkennen, ob der Login erfolgreich war. Soll wohl auch so sein, sonst hieße es nicht Secure Shell. Nun kam ich auf die Idee, die Ausgabedatei von sshd auszuwerten. Mit einem kleinen Perl-Script erkennt er auch alles, was ich wissen will. Nur funktioniert dies jeweils nur auf dem System, auf dem mein Script und Swatch läuft. Da es sich aber um ein größeres Netz handelt, würde ich gerne vermeiden, auf jedem Rechner das Script zu installieren oder die Log-Dateien von sshd auf einen Rechner umzuleiten. Lange Rede, kurzer Sinn: Hat jemand eine Idee, wie Snort unabhängig von den Protokolldateien des Rechners erkennen kann, ob ein SSH-Login fehlschlägt? Oder hat jemand eine andere Idee wie so etwas zu realisieren wäre? Vielen Dank, bye Jörn
participants (1)
-
Jörn-Marc Schmidt