Miten tarkistan onko koneellani käyty ulkopuolelta?

Mäkki-Makke · Viesti Kirjoittaja **Mäkki-Makke** » 22.10.2006 klo 9.58

Onko minun mahdollista lukea lokista tms. jos joku on vieraillut koneellani tietämättäni? Meillä on yrityksessä sisäinen verkko, mitä kautta pääsee käsittääkseni toisen koneelle. En tiedä mitä se vaatii (salasanan?), mutta vaikeaa se ei liene. Mutta siis, voinko tarkistaa asian jostain?

at · Viesti Kirjoittaja at » 22.10.2006 klo 10.56

No, aloita lukemalla logia:
/var/log/secure.log
Myös system.log kertoo tapahtumista.
Se näyttää milloin on loggauduttu sisälle.

Laita palomuuri päälle koneeseesi, se estää ulkoa sisälle tulevat yhteydet.
Ulospäin lähtevää liikennettä voit tarkkailla ohjelmalla
http://www.obdev.at/products/littlesnitch/index.html

Aloita vaikka noilla.

Mäkki-Makke · Viesti Kirjoittaja **Mäkki-Makke** » 22.10.2006 klo 11.33

Konsolista löytyi tuo var/log, mutta ei securityä. Paljon muuta kyllä.

tempe · Viesti Kirjoittaja **tempe** » 22.10.2006 klo 19.17

at kirjoitti:No, aloita lukemalla logia:
/var/log/secure.log

Hohoo, tuohan on informatiivista lukemista. Minulla on tuossa palomuurissa ollut ssh-portti auki tälle koneelle, joskin tarpeettomasti, kun en ole vaivautunut sitä sulkemaan. Nyt suljin, kun luin, että sisälle on yritetty kaikilla mahdollisilla käyttäjätunnuksilla rootista ja abdullahista alkaen (ja minulla on sentään dynaaminen IP). Ei kyllä ole kukaan luvatta päässyt sisään.

telegram · Viesti Kirjoittaja **telegram** » 22.10.2006 klo 23.26

Kuis tuota secure.logia pääsee lukemaan? Pitääkö olla roottina liikenteessä? Ylläpitäjänä sitä ei pääse lukemaan.

steelduck · Viesti Kirjoittaja **steelduck** » 22.10.2006 klo 23.47

Hmm... pitääkö tuo palomuuri laittaa erikseen päälle? Olen Roomassa työmatkalla ja uusi iMacci jäi kotiin lasten ja vaimon käyttöön. En ole sille muuta tehnyt, kuin ajanut tarrjotut päivitykset ja ottanut itseltäni rootin oikeudet pois ja tehnyt uuden käyttäjän admin oikeuksilla.

Kone on kyllä Linksysissin NAT:aavan "palomuurin" WLAN purkin takana...

Pitäiköhän tässä olla huolissaan..

nikoh · Viesti Kirjoittaja **nikoh** » 22.10.2006 klo 23.56

steelduck kirjoitti:Kone on kyllä Linksysissin NAT:aavan "palomuurin" WLAN purkin takana...

Jos kone ei ole demilitarisoidulla vyöhykkeellä (eli DMZ:lla) tai liikennettä ei oletusarvoisesti muuten ohjata koneesi (lähiverkon) IP-osoitteeseen niin voit olla kokolailla huoleti.

wanders · Viesti Kirjoittaja **wanders** » 22.10.2006 klo 23.57

nikoh kirjoitti:...demilitarisoidulla vyöhykkeellä (eli DMZ:lla) ...

Mitäs tää tarkoittaa?

mercury · Viesti Kirjoittaja **mercury** » 23.10.2006 klo 0.01

wanders kirjoitti:Mitäs tää tarkoittaa?

DMZ on sisäverkon alue jolle pääsee käsiksi ulkoverkosta.

http://en.wikipedia.org/wiki/Demilitari ... mputing%29

MacFinn · Viesti Kirjoittaja **MacFinn** » 23.10.2006 klo 8.55

telegram kirjoitti:Kuis tuota secure.logia pääsee lukemaan? Pitääkö olla roottina liikenteessä? Ylläpitäjänä sitä ei pääse lukemaan.

Kyllä tuota logia voi lukea ylläpitäjänä. Avaa Konsoli ja sieltä Lokit painike ja /var/log. S:n kohdalle kun scrollaat, siellähän secure.log on.

Siis Konsoli, ei Pääte.

telegram · Viesti Kirjoittaja **telegram** » 23.10.2006 klo 13.39

MacFinn kirjoitti:
telegram kirjoitti:Kuis tuota secure.logia pääsee lukemaan? Pitääkö olla roottina liikenteessä? Ylläpitäjänä sitä ei pääse lukemaan.
Kyllä tuota logia voi lukea ylläpitäjänä. Avaa Konsoli ja sieltä Lokit painike ja /var/log. S:n kohdalle kun scrollaat, siellähän secure.log on.

Siis Konsoli, ei Pääte.

Mulla se secure.log näkyi konsolissa /var/log -listalla vain harmaana, ja kun klikkailin sitä, ainoa asia mitä sain näkyviin oli pelkkä tieto siitä, etteivät oikeudet riitä lukemaan logia. Ja tämä tapahtui, kun olin ylläpitäjän oikeuksilla kirjautuneena. En tiedä vaikuttiko asiaan se, että taustalla oli auki tavallisen käyttäjän käyttäjäprofiili (olin vaihtanut käyttäjätunnusta pikavaihdolla).

telegram · Viesti Kirjoittaja **telegram** » 23.10.2006 klo 21.06

piti kokeilla vielä kerran:
" -- Käyttöoikeutesi eivät riitä tämän tiedoston avaamiseen -- " tjsp.

Macci osaa aina silloin tällöin yllättää.

telegram · Viesti Kirjoittaja **telegram** » 23.10.2006 klo 21.14

Root userina secure.log sitten suostui avautumaan. Mitään hälyttäviä merkintöjä ei löytynyt. Palomuuri ei näytä fuskaavan

Rooivalk · Viesti Kirjoittaja **Rooivalk** » 25.10.2006 klo 20.29

telegram kirjoitti:Root userina secure.log sitten suostui avautumaan. Mitään hälyttäviä merkintöjä ei löytynyt. Palomuuri ei näytä fuskaavan

Mitenkäs tämä Root User homma tehdään, itselläni kanssa secure.log harmaana ja olen pääkäyttäjä?.

route66 · Viesti Kirjoittaja **route66** » 26.10.2006 klo 17.47

Minäkin olen koneen ainoalla käyttäjätunnuksella sisällä, mutta harmaana pysyy.

MacFinn · Viesti Kirjoittaja **MacFinn** » 26.10.2006 klo 19.07

Mikähän siinä sitten on, kun minä olen kans Admin käyttäjä ja mulla toimii.

Jamac · Viesti Kirjoittaja **Jamac** » 26.10.2006 klo 20.06

Minäkään en tuota näe Consolissa adminina. Mitään lukko-symboliakaan ei näy että pääsis antamaan admin salasanan.

Rooivalk · Viesti Kirjoittaja **Rooivalk** » 26.10.2006 klo 20.44

Jamac kirjoitti:Minäkään en tuota näe Consolissa adminina. Mitään lukko-symboliakaan ei näy että pääsis antamaan admin salasanan.

Ehkä meitin koneet on jo kaapattu ja toimii roskaposti ja p0rn0-palvelimina...

8)

Lare · Viesti Kirjoittaja **Lare** » 26.10.2006 klo 21.31

Jamac kirjoitti:Minäkään en tuota näe Consolissa adminina. Mitään lukko-symboliakaan ei näy että pääsis antamaan admin salasanan.

Täällä toimii Admin-tilillä, perustilillä ei. Kokeilkaapa ajaa OnyXillä vaikkapa oikeuksien korjaukset. Mahtaisko auttaa. Siivosin muuten eilen OyXillä nuo logit kokonaan 10.4.8-asennuksen yhteydessä.

Annan Affen itse ehdottaa Consolen PLISTin roskiinlaittoa. 8)

Virtapiikki · Viesti Kirjoittaja **Virtapiikki** » 1.12.2010 klo 17.59

Nostan nyt näin vanhan aiheen..mutta, kun tutkin tuota secure.logia, oli siellä vaikka mitä kirjoituksia.. Samoin var.logissa.
Kuuluisiko niitten olla tyhjiä jos kuneelle ei ole murtauduttu, vai onko normaalia että sisältävät tekstiä?
Nämä asiat on mulle täyttä hepreaa

MacFinn · Viesti Kirjoittaja **MacFinn** » 1.12.2010 klo 19.04

Kyllähän siellä tekstiä on vaikka kuinka paljon. Omistani en kyllä äsken löytänyt mitään outoa, normaaleja toimintoja vain.

ERA · Viesti Kirjoittaja **ERA** » 1.12.2010 klo 21.47

MacFinn kirjoitti:Mikähän siinä sitten on, kun minä olen kans Admin käyttäjä ja mulla toimii.

Minulla toimii myös ihan samalla tavalla kuin MacFinn kertoi...

securapple · Viesti Kirjoittaja **securapple** » 1.12.2010 klo 22.00

Hei!

Tuohon syslogiin vaikuttaa luonnollisesti lokitusasetukset jotka ovat yleisesti syslog.conf -tiedostossa. Macissä löytyy /etc/private/syslog.conf , sekä myös /etc/private/newsyslog.conf jonka tarkoitusta en ole tarkemmin selvittänyt.

Noin yleensä secure.logiin tavaraa syytävä authpriv -facilityn loggaustason näyttää olevan oletuksena .info joka loggaa kaiken tarpeellisen, lisää lokitustarkuutta saa pistämällä .debug jolloin sitten sitä tavaraa tulee selvästi enemmän. Tarvittaessa secure.login lokit voi ohjata keskitetylle lokipalvelimelle lisäämällä syslog.conf:iin rivin :
authpriv.info @ip_osoite

tämän jälkeen syslogd:n restartti ottaa konffiksen käyttöön:
$ sudo launchctl unload /System/Library/LaunchDaemons/com.apple.syslogd.plist
$ sudo launchctl load /System/Library/LaunchDaemons/com.apple.syslogd.plist

Vanha konffitiedosto kannattaa ottaa talteen esim. nimeämällä syslog.conf.old

secure.login luvista mainitaan (authpriv logfile on siis secure.log):

# The authpriv log file should be restricted access; these
# messages shouldn't go to terminals or publically-readable
# files.

eli lukemisen tulisi vaatia adminit.

-Securapple

Miten tarkistan onko koneellani käyty ulkopuolelta?

Miten tarkistan onko koneellani käyty ulkopuolelta?

Re: Miten tarkistan onko koneellani käyty ulkopuolelta?

Re: Miten tarkistan onko koneellani käyty ulkopuolelta?

Re:

Re: Miten tarkistan onko koneellani käyty ulkopuolelta?