OKWAVEのAI「あい」が美容・健康の悩みに最適な回答をご提案!
-PR-
解決
済み

FreeBSDの"LOGIN FAILURE"のログはどこに?

  • 困ってます
  • 質問No.142172
  • 閲覧数343
  • ありがとう数2
  • 気になる数0
  • 回答数4
  • コメント数0

お礼率 54% (6/11)

FreeBSD3.4を使っています。
rootユーザにdaemonから毎日送られてくるメール
(Subject: thishost.xxx.jp security check output)
の中の項目に

thishost.xxx.jp login failures:
Sep 12 11:52:35 hostname login: 1 LOGIN FAILURE ON ttyv0
Sep 13 14:12:20 hostname login: 1 LOGIN FAILURE FROM thishost
:

というのがあるのですが
随分前のログイン失敗記録が毎日送られ続けています。

このログはどこかのファイルに記録されているのだと思うのですが
そのファイルがどこにあるか教えていただけないでしょうか。

また、
・そのログファイルは内容を(または、ファイルごと)消去してもかまわないものなのか、
・この類のメールを停止できるのか
 (停止しても問題なければ)
についても、教えていただけたらと思います。

基本的なことで申し訳ありませんが、よろしくお願い致します。
通報する
  • 回答数4
  • 気になる
    質問をブックマークします。
    マイページでまとめて確認できます。

質問者が選んだベストアンサー

  • 回答No.3
レベル11

ベストアンサー率 55% (155/280)

遅くなりましたが…

3.4 は手元にないので、若干相違があるかもしれませんが、
手元の 3.2 では、/etc/crontab で periodic daily を実行して、
この結果をそのまま sendmail に食わせています。
これが、daily run output として来るメールです。

ですが、/etc/security の結果は、
/etc/periodic/daily/450.status-security
が独自に sendmail に渡しているようですね。
こっちが、security check output です。

ですので、cron 云々じゃなくて、
/etc/periodic/daily/450.status-security
を変更してやる必要があります。
具体的には、このファイル内に
sh /etc/security 2>&1 | sendmail root
という行がありますが、これを
sh /etc/security >/var/log/security.log 2>&1
としてやればいいです。
ただし、これでは毎日上書きされてしまいますので、
sh /etc/security >/var/log/security.log.`date +%d` 2>&1
とかにしておくと、過去1ヶ月分は保存されるようになります。
date +%d は、その日の日付です。
補足コメント
ijumi1978

お礼率 54% (6/11)

たびたびすみません。

昨日、
/etc/periodic/daily/450.status-security
の内容を
sh /etc/security >/var/log/security.log.`date +%d` 2>&1
に書き換えてみました。
#連休まえに`date +%d`でなく'date +%d'で書いてしまってました。

今朝、会社に来てみると
/var/log/securityt.log.11 なるファイルが作成され、
その中に /etc/security の結果が書かれていました。

けれど、rootに/etc/securityのメールは送り続けられています。
punchan_jpさんの3.2と私の3.4の構成が違うのでしょうか?

ちなみに、毎日届いているのは
login failureなどが書かれた『hostname.co.jp security check output』なるサブジェクトのものと、
ハードディスクの状態などが書かれた『hostname.co.jp daily run output』です。
投稿日時 - 2001-10-11 08:47:48
お礼コメント
ijumi1978

お礼率 54% (6/11)

ログをsendmailではなくファイルに出力するわけですね。
 sh /etc/security >/var/log/security.log.`date +%d` 2>&1
の日付を囲んでる記号が後ろ向きダッシュ(`)でよいのでしょうか。
土日月&翌火曜日は会社が休みなので
そのあとにチェックしてみます。

意図する出力結果が得られたかどうか、
報告させていただきますね。

ありがとうございました。m(_ _)m
投稿日時 - 2001-10-05 09:32:24
-PR-
-PR-

その他の回答 (全3件)

  • 回答No.1
レベル11

ベストアンサー率 55% (155/280)

/var/log/messages に記録されており、cron の periodic daily 内でチェッ クされ、メールされます。 /var/log/messages は、cron で起動される newsyslog が、newsyslog.conf に設定された条件を満たしたときに、名前を変えて数回分が保存され、ファイ ルが空にもどされます。デフォルトでは /var/log/messag ...続きを読む
/var/log/messages に記録されており、cron の periodic daily 内でチェッ
クされ、メールされます。

/var/log/messages は、cron で起動される newsyslog が、newsyslog.conf
に設定された条件を満たしたときに、名前を変えて数回分が保存され、ファイ
ルが空にもどされます。デフォルトでは /var/log/messages は 100KB に達し
たらローテートされるようになっていると思います。ですから、
/var/log/messages に記録される内容があまりなければ、なかなか 100KB に
なりませんので、何度もチェックされてメールされるというわけです。

ある程度の期間は、過去の /var/log/messages を保存しておく方がいいと思
いますから、100KB ごとではなく、例えば毎日更新し、ただし保持回数を30回
くらいとしておくのはいかがでしょうか?
それには、/etc/newsyslog.conf の該当する行を
/var/log/messages 664 30 * 24 Z
のようにすればいいと思います。

メールの停止は、cron で sendmail を呼ばずにファイルに入れるなり、
/dev/null に捨てるなりすれば可能です。4.x では別の設定ファイルをいじれ
ば可能です。外部から攻撃される可能性がないマシンであれば、捨ててもいい
でしょう。
補足コメント
ijumi1978

お礼率 54% (6/11)

/var/log/messagesをみたところ、たくさんのログの記録を確認できました。
しかし、メールで毎日送られる内容は
 LOGIN FAILURE 
の記録のみで、
 誰がログイン/シャットダウンした
 ハードウェアの使用部品(?)
等のログは送られてきていません。
ログイン失敗の記録のみが別のファイルに入っているのでしょうか。。。
投稿日時 - 2001-09-28 13:42:14
  • 回答No.2
レベル11

ベストアンサー率 55% (155/280)

3.x の場合、/etc/security が関連するスクリプトですが、これが /var/log/messages の中から、重要なパターンにマッチするものを ピックアップし、該当するものだけがメールに記載されます。 具体的には、 LOGIN FAILURE と、 REFUSED CONNECT という文字列がある行です。 ...続きを読む
3.x の場合、/etc/security が関連するスクリプトですが、これが
/var/log/messages の中から、重要なパターンにマッチするものを
ピックアップし、該当するものだけがメールに記載されます。

具体的には、
LOGIN FAILURE
と、
REFUSED CONNECT
という文字列がある行です。
補足コメント
ijumi1978

お礼率 54% (6/11)

/etc/securityに
login failureとrefused connectに関するログを表示させるようなものを見つけました。
これがメールにログを表示させてたんですね。

/var/log/messagesの最古のログは11 Sepでしたので
12 Sepのログはそろそろ来なくなるんですね。

原因がわかってほっとしています。
ありがとうございました。

それと、前回の回答で
> メールの停止は、cron で sendmail を呼ばずにファイルに入れるなり、
> /dev/null に捨てるなりすれば可能です。4.x では別の設定ファイルをいじれ
> ば可能です。外部から攻撃される可能性がないマシンであれば、捨ててもいい
> でしょう。
とあるのですが、cronでsendmailを呼ばずにファイルに入れるとは
どうすればよいのでしょうか。
その場合、このログメール(?)だけでなく
他のメールもファイルに入ってしまうんですよね?

再三、申し訳ありません。
よろしくお願い致します。
投稿日時 - 2001-10-01 09:37:38
  • 回答No.4
レベル11

ベストアンサー率 55% (155/280)

ログがファイルに記録されるだけでなく、メールでも来るということでしょうか? /etc/periodic/daily/450.status-security の変更時に、 該当行の変更ではなく、追加をしていませんか? そうでないとすると、ちょっとわかりません。 ...続きを読む
ログがファイルに記録されるだけでなく、メールでも来るということでしょうか?

/etc/periodic/daily/450.status-security の変更時に、
該当行の変更ではなく、追加をしていませんか?

そうでないとすると、ちょっとわかりません。
お礼コメント
ijumi1978

お礼率 54% (6/11)

えぇ。
/var/log/security.log.16(本日作成分)のようなファイルができており、
rootユーザにもメッセージが送られ続けてきています。
「再設定してからリブートかけていなかったかな?」
と思ってリブートしてみましたが、
既にリブート済みだったようで、結果は変わりませんでした。。。

もうちょっと…いや、もっと×2勉強して
いつの日か(?)解決したいと思います。
長々と御丁寧にありがとうございました!! m(_ _)m
投稿日時 - 2001-10-16 09:22:27
このQ&Aで解決しましたか?
関連するQ&A
-PR-
-PR-
このQ&Aにこう思った!同じようなことあった!感想や体験を書こう
このQ&Aにはまだコメントがありません。
あなたの思ったこと、知っていることをここにコメントしてみましょう。

その他の関連するQ&A、テーマをキーワードで探す

キーワードでQ&A、テーマを検索する
-PR-
-PR-
-PR-

特集


いま みんなが気になるQ&A

関連するQ&A

-PR-

ピックアップ

-PR-
ページ先頭へ