bolug bonner linux user group
news about wissen files archive hilfe suchen  

 

archive :: SchAN-User

druckfassung

SchAN-User

Re: [Schan-user] Mail an root unterdrücken

To: Schulen ans Netz - Anwender <schan-user@xxxxxxxxxxxxxxxxx>
Subject: Re: [Schan-user] Mail an root unterdrücken
From: "andrea@xxxxxxxxxxxx" <andrea@xxxxxxxxxxxx>
Date: Wed, 26 Jun 2013 17:26:11 +0200 (CEST)
Hallo Helmut,

danke für die detaillierte Antwort! Da wissen wir  ja jetzt, wie wir die Mails
zu "verwerten" habe.

Der Anacron job.Tag wird mal nur jeden Monat angezeigt, mal alle 2 Wochen, dann
sogar mal 2 Tage hintereinander. Hat aber immer den gleichen Inhalt.

Viele Grüße
   Andrea


> Helmut Hullen <hhullen@xxxxxxxxxxxx> hat am 26. Juni 2013 um 13:36
> geschrieben:
>
>
> Hallo, Andrea,
>
> Du meintest am 26.06.13:
>
> > ich bin gerade dabei die Mailbox von root auszumisten, weil ich seit
> > 6 Monaten nur sporadisch reingeschaut habe und Daniela diese Arbeit
> > ersparen will.
>
> > Dabei sind mir folgende Dinge aufgefallen:
> > 1. Was nervt, dass ich ca. 6000 Mails im Postfach habe und die
> > meisten davon lösche ich ungelesen. Das sind dann Rückemldungen von
> > cron-jobs (signaturup, inet-on, ipput, schaltaus, ...), die nur
> > zurückmelden, dass der Befehl / das Skript korrekt ausgeführt wurde.
> > Gibt es eine Möglichkeit diese Meldungen zu unterdrücken und nur dann
> > etwas zurückzumelden, wenn es ein Problem gab? Wenn ja, wo muss ich
> > das ändern?
>
> In den allermeisten Fällen: ein "-" als erstes Zeichen der Cronjob-Zeile
> sollte reichen. Damit werden die "ich war fleissig"-Meldungen
> unterdrückt, Fehler werden weiterhin gemeldet.
>
> > 2. Ansonsten haben wir ganz oft sshd-Zugriffe, die aber wohl nicht
> > durchkommen, sondern nur anklopfen, oder? Zumindest steht in den
> > Mails, die meist in 3-facher Ausfertigung nach dem Zugriff geschickt
> > werden, nichts drin, außer dem Header, der so aussieht:
>
> > Betreff: sshd-Zugriff von 61.142.106.34
> > Von: root@xxxxxxxxxxxxxxxxxxxx
> > Datum: Fr, 8.02.2013, 15:09
> > An: root@xxxxxxxxxxxxxxxxxxxx
> > Priorität: Normal
>
> > Ich nutze diese Rückmeldungen gerne im Info-Unterricht, um zu zeigen,
> > aus welchem Teil der Welt, die sshd-Zugriffe meist kommen :-)
>
> Da greift der SSH-Blocker aus "/etc/Schule/ipfilter-start", und er
> greift anscheinend zuverlässig.
> Die Meldungen werden über den "spawn"-Eintrag im SSH-Block in "/etc/
> hosts.allow" ausgelöst; die würde ich nur ungern unterdrücken, solange
> nur ganz wenige Leute erlaubten Zugriff per SSH haben.
>
>
> > 1. Auch tftpd-Zugriff von lokalen IP-Adressen kommen hin und wieder
> > vor. Diese IP-Adressen sind dann dynamisch vergebene an Laptops in
> > unserem Netz. Wobei eigentlich kein Kollege bei uns (wissentlich) ftp
> > nutzt. Denn die Homepage mit den Uploads betreue ich auch und ich
> > sitze immer an einem PC mit fest vergebener IP.
>
> So ähnlich wie bei SSH. Würde ich auch eher drinlassen.
>
> > 2. Und es gibt proftpd-Zugriff von externen IP-Adressen. Wobei dann
> > sogar ein 0k-großer Anhang mitgeschickt wurde.
>
> Da habe ich in meiner "/etc/hosts.allow" im "in.ftpf/proftpd"-Block eine
> Zeile ergänzt (vor der "spawn"-Zeile):
>
> in.ftpd, proftpd: .googlebot.com: DENY
>
> Damit habe ich die allermeisten Zugriffe von draussen abgeblockt (ich
> erlaube "im Prinzip" den FTP-Zugriff auch von draussen).
>
> > 3. Dann gibt es in unregelmäßigen Abständen eine Mail, mit dem
> > Subjekt "Anacron job 'job.TAG'", die folgendes gleichbleibend meldet:
>
> Abstand: täglich?
>
> Wenn aber "anacron" das meldet, dann klingt das eher nach Jobs, die
> wegen eines längeren Stillstands des Servers nicht zum regulären
> Zeitpunkt ausgeführt wurden.
>
> > /etc/mail/aliases-system: 27 aliases, longest 20 bytes, 567 bytes
> > total /etc/mail/aliases: 38 aliases, longest 33 bytes, 1053 bytes
> > total unicode_stop skipped on kein Ausgabegerät
> > repquota: Quota file not found or has wrong format.
> > repquota: Quota file not found or has wrong format.
> > Modus von »/etc/squid« nach 0751 (rwxr-x--x) geändert
> > Modus von »/bin/mount« nach 4755 (rwsr-xr-x) geändert
>
> [...]
>
> Da werden der Reihe nach alle "ausführbaren" Einträge in "/etc/
> cron.daily" abgearbeitet; einige sind geschwätzig, die meisten sind
> still und brav.
>
> In dem Bereich habe ich im Lauf der Arktur-Versionen einiges geändert,
> in der Hoffnung, dass mehr Ruhe einkehrt; ist viel Detail-Pusselei.
>
>
> > Muss ich bei einem der Punkte 2-5 etwas unternehmen, oder kann ich
> > die Mails ruhigen Gewissens löschen?
>
> "Im Prinzip": löschen.
>
> Bei den SSH-Meldungen: solange sie abgewimmelt werden, ist alles ok ...
>
> Wenn Du mehr Beruhigung brauchst: ein Blick in "/var/log/login" zeigt,
> wer sich (hoffentlich erlaubt) bei Arktur eingeloggt hat und wessen
> Versuch abgeblockt wurden.
>
> Etwas komfortabler:
>
> grep Accepted /var/log/login
>
> zeigt, wer durchgekommen ist.
>
> Viele Gruesse!
> Helmut
>
> _______________________________________________
> schan-user mailing list
> schan-user@xxxxxxxxxxxxxxxxx
> http://www.heise.de/bin/newsletter/listinfo/schan-user
_______________________________________________
schan-user mailing list
schan-user@xxxxxxxxxxxxxxxxx
http://www.heise.de/bin/newsletter/listinfo/schan-user

 « Vorige im Thread  Dieser Thread  Nächste im Thread » 

 

seitenanfang


 

news about wissen files archive hilfe suchen  
kontakt letzte änderung: 26.06.2013