Bonjour à tous!
Je me penche un peu sur les moyens de sécuriser mon château-fort mais étant totalement néophyte j'aurai besoin d'un petit coup de main pour décrypter les logs de prewikka et vérifier que j'ai pas fait trop de co*eries. Voici les entrées qui m'interrogent:
1) Les entrées "IP source matching Dshield database" correpondent à quoi exactement? Ces IP sont elle bloquées ou est-ce juste un warning?
2) Dans les entrées générées par portsentry j'ai du mal a comprendre les 'succeeded' et 'failed', je sais pas si je dois comprendre que le scan à réussi et le blocage échoué ou l'inverse (sachant que mon hosts.deny est bien dodu)
3) A quoi correspondent les entrées eventscan?
4) Concernant ossec il me renvoie beaucoup d'erreur "Web server 400 error code." et ponctuellement ceci que je ne comprend pas:
5) Autre chose: mes logs sont littéralement spammés (plusieurs centaines/heure) par des entrées de ce genre:
Mar 20 13:28:19 monnomdhote kernel: [320701.922753] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1 LEN=1532 TOS=0x00 PREC=0x00 TTL=64 ID=37046 DF PROTO=TCP SPT=59729 DPT=4690 WINDOW=1365 RES=0x00 ACK PSH URGP=0
Mar 20 13:28:19monnomdhote kernel: [320701.922839] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=26174 DF PROTO=TCP SPT=4690 DPT=59729 WINDOW=24576 RES=0x00 ACK URGP=0
6) Sinon je suis tombé
sur ceci (ipset + list d'IP blacklistée dynamique) et j'aurai aimé avoir des avis mondédiens avant de mettre en place ou non: ça vaut le coup ce genre de trucs?
7)Enfin dernière question, auriez-vous un utilitaire simple et accessible via le web pour monitorer le trafic web/mail (j'arrive pas à faire fonctionner munin)? Quelque chose d'un peu plus funky que les logs pour le pauvre amateur que je suis!
Merci
Edit: Je voulais aussi vous demander si c'est normal que mon hosts.deny se remplisse aussi vite (environ une IP bannie toute les 8minutes)?
