Bonjour,
>
> Je ne comprend pas tres bien l'interet de klaxon.
>
> dans inetd.conf:
> tcpmux stream tcp nowait nobody /usr/sbin/tcpd /bin/false
> (je note au passage que klaxon s'execute sous root)
> et dans hosts.allow :
> false:ALL: spawn /bin/echo ! ALERTE ! gros mechant detecte depuis %u@%n | logger -i -p local3.warning -t tcmmux
>
> On obtiens exeactement la meme chose. Avec un deamon root de moins.
> De plus klaxon ajoute un message de plus au scan proprement dis.
>
Ce truc m'a fortement interressé, c'est vrai, j'ai pas lu la doc de tcpd
en entier, mais j'ai quand meme un problème avec le coup de l'appel de
false c'est que la c'est un service, or, je logge tous les ports
et j'ai pas trouvé comme passer comme paramètre le port scanné dans la
ligne de commande de hosts.allow.
L'idée, c'est de logger les machines pour les mettre dans une liste noire
et d'envoyer un email à l'admin pour lui signaler que c'est pas trop sympa,
ca avant d'automatiser un coup de syndrop ou équivalent si la machine insiste !
Dans l'exemple sur tcpmux, ca marche bien, mais comment faire avec tous les ports.
Avec klaxon, j'ai le port scanné dans le syslog et avec wots, je le récupère en
temps réel !
Bon, enfin comme ca, histoire de faire propre.
--
Cordialement,
Henry-Pascal ELDIN
Administration Systeme et Réseau de la Plateforme Internet du
Syndicat Intercommunal à Vocation Unique des Inforoutes de l'Ardèche
http://www.inforoutes-ardeche.fr
