bolug bonner linux user group
news about wissen files archive hilfe suchen  

 

archive :: SchAN-User

druckfassung

SchAN-User

Re: [Schan-user] Mail an root unterdrücken

To: schan-user@xxxxxxxxxxxxxxxxx
Subject: Re: [Schan-user] Mail an root unterdrücken
From: hhullen@xxxxxxxxxxxx (Helmut Hullen)
Date: 26 Jun 2013 13:36:00 +0200
Hallo, Andrea,

Du meintest am 26.06.13:

> ich bin gerade dabei die Mailbox von root auszumisten, weil ich seit
> 6 Monaten nur sporadisch reingeschaut habe und Daniela diese Arbeit
> ersparen will.

> Dabei sind mir folgende Dinge aufgefallen:
> 1. Was nervt, dass ich ca. 6000 Mails im Postfach habe und die
> meisten davon lösche ich ungelesen. Das sind dann Rückemldungen von
> cron-jobs (signaturup, inet-on, ipput, schaltaus, ...), die nur
> zurückmelden, dass der Befehl / das Skript korrekt ausgeführt wurde.
> Gibt es eine Möglichkeit diese Meldungen zu unterdrücken und nur dann
> etwas zurückzumelden, wenn es ein Problem gab? Wenn ja, wo muss ich
> das ändern?

In den allermeisten Fällen: ein "-" als erstes Zeichen der Cronjob-Zeile  
sollte reichen. Damit werden die "ich war fleissig"-Meldungen  
unterdrückt, Fehler werden weiterhin gemeldet.

> 2. Ansonsten haben wir ganz oft sshd-Zugriffe, die aber wohl nicht
> durchkommen, sondern nur anklopfen, oder? Zumindest steht in den
> Mails, die meist in 3-facher Ausfertigung nach dem Zugriff geschickt
> werden, nichts drin, außer dem Header, der so aussieht:

> Betreff:      sshd-Zugriff von 61.142.106.34
> Von:          root@xxxxxxxxxxxxxxxxxxxx
> Datum:        Fr, 8.02.2013, 15:09
> An:           root@xxxxxxxxxxxxxxxxxxxx
> Priorität:    Normal

> Ich nutze diese Rückmeldungen gerne im Info-Unterricht, um zu zeigen,
> aus welchem Teil der Welt, die sshd-Zugriffe meist kommen :-)

Da greift der SSH-Blocker aus "/etc/Schule/ipfilter-start", und er  
greift anscheinend zuverlässig.
Die Meldungen werden über den "spawn"-Eintrag im SSH-Block in "/etc/ 
hosts.allow" ausgelöst; die würde ich nur ungern unterdrücken, solange  
nur ganz wenige Leute erlaubten Zugriff per SSH haben.


> 1. Auch tftpd-Zugriff von lokalen IP-Adressen kommen hin und wieder
> vor. Diese IP-Adressen sind dann dynamisch vergebene an Laptops in
> unserem Netz. Wobei eigentlich kein Kollege bei uns (wissentlich) ftp
> nutzt. Denn die Homepage mit den Uploads betreue ich auch und ich
> sitze immer an einem PC mit fest vergebener IP.

So ähnlich wie bei SSH. Würde ich auch eher drinlassen.

> 2. Und es gibt proftpd-Zugriff von externen IP-Adressen. Wobei dann
> sogar ein 0k-großer Anhang mitgeschickt wurde.

Da habe ich in meiner "/etc/hosts.allow" im "in.ftpf/proftpd"-Block eine  
Zeile ergänzt (vor der "spawn"-Zeile):

   in.ftpd, proftpd:    .googlebot.com: DENY

Damit habe ich die allermeisten Zugriffe von draussen abgeblockt (ich  
erlaube "im Prinzip" den FTP-Zugriff auch von draussen).

> 3. Dann gibt es in unregelmäßigen Abständen eine Mail, mit dem
> Subjekt "Anacron job 'job.TAG'", die folgendes gleichbleibend meldet:

Abstand: täglich?

Wenn aber "anacron" das meldet, dann klingt das eher nach Jobs, die  
wegen eines längeren Stillstands des Servers nicht zum regulären  
Zeitpunkt ausgeführt wurden.

> /etc/mail/aliases-system: 27 aliases, longest 20 bytes, 567 bytes
> total /etc/mail/aliases: 38 aliases, longest 33 bytes, 1053 bytes
> total unicode_stop skipped on kein Ausgabegerät
> repquota: Quota file not found or has wrong format.
> repquota: Quota file not found or has wrong format.
> Modus von »/etc/squid« nach 0751 (rwxr-x--x) geändert
> Modus von »/bin/mount« nach 4755 (rwsr-xr-x) geändert

[...]

Da werden der Reihe nach alle "ausführbaren" Einträge in "/etc/ 
cron.daily" abgearbeitet; einige sind geschwätzig, die meisten sind  
still und brav.

In dem Bereich habe ich im Lauf der Arktur-Versionen einiges geändert,  
in der Hoffnung, dass mehr Ruhe einkehrt; ist viel Detail-Pusselei.


> Muss ich bei einem der Punkte 2-5 etwas unternehmen, oder kann ich
> die Mails ruhigen Gewissens löschen?

"Im Prinzip": löschen.

Bei den SSH-Meldungen: solange sie abgewimmelt werden, ist alles ok ...

Wenn Du mehr Beruhigung brauchst: ein Blick in "/var/log/login" zeigt,  
wer sich (hoffentlich erlaubt) bei Arktur eingeloggt hat und wessen  
Versuch abgeblockt wurden.

Etwas komfortabler:

        grep Accepted /var/log/login

zeigt, wer durchgekommen ist.

Viele Gruesse!
Helmut

_______________________________________________
schan-user mailing list
schan-user@xxxxxxxxxxxxxxxxx
http://www.heise.de/bin/newsletter/listinfo/schan-user

 « Vorige im Thread  Dieser Thread  Nächste im Thread » 

 

seitenanfang


 

news about wissen files archive hilfe suchen  
kontakt letzte änderung: 26.06.2013