??
A ver, si es una conexion tipo Auth con facilidad reconocida de auth en syslog, pues si.
Es decir, si alguien conecta a sshd pues quedaria registrado en /var/log/auth.log o el archivo en el que lo tenga apuntando en [sr]yslog.conf /* facilidad auth */
Pero el dijo:
Uso openSUSE 11.1 ¿Es cierto que desde que hagan cualquier intento de conexión por red o Internet se queda registrado?
Y eso no aplica a lo que dices Kasswed. /* Creo! */
No es que en Opensuse no exista o no, para el logging esta syslog/rsyslog, asi que deberia de editar/configurar su archivo de configuracion ( rsyslog.conf || syslog.conf ).
Saludos.
/*** MOD ***/
Asimismo el deberia de configurar su [rs]yslog.conf si quiere saber a donde van a parar los logs de IPtables con -j LOG, pues deberia de checkear hacia donde se dirijen los mensajes con prioridad warning ( default, == 4 ). De otro modo deberia de cambiar el --log-level por otra que mas le parezca..
Syslog no determina con que facilidad/prioridad logueara un programa. Eso lo decide el prgrama en si, en este caso IPtables. Syslog determina hacia donde van logueadas dichas prioridades/facilidades, eso si. En algunos casos las prioridades/facilidades no se tan configurables, y por ello se debe de leer el manual de la aplicacion para ver cual fue la decision de tomada por el programador de la aplicacion.
Por ello, si tiene en su [rs]yslog.conf algo como
auth.* /var/log/auth.log
# facilidad auth con todas las prioridades
pues si alguien loguea por ssh pues tendra en ese log el logueo/intento de logueo.
Si alguien le escanea un puerto de manera Stealth o no, no quedara registrado bajo /var/log/auth.
Para ello "necesitaria" Iptables" como se indico.
Suscripción al boletín mensual de elhacker.net
Autor
En línea
