Thread Info
  • State Not Answered
  • Replies 5 replies
  • Subscribers 0 subscribers
  • Views 781 views
  • Users 0 members are here
Options
Suggested

[7.891][FEATURE][OPEN] failed ssh logins not warning

RFCat_vk_01
Hi,
tonight I find the following entry in my logs, but no e-mail, notification on failed login is enabled. I know who tried to login.

Ian M

2010:03:22-20:14:28 fw1-on-house su:  FAILED SU (to root) loginuser on /dev/pts/0
2010:03:22-20:14:36 fw1-on-house su:  (to root) loginuser on /dev/pts/0
Parents Reply Children
  • 0 in reply to RFCat_vk_01
    Based on the fact that some-one has accessed my ASG successfully and it isn't recorded anywhere obvious to alert me that my ASG is being/or was accessed ... 


    That means, you have disabled the notifications INFO-006 and INFO-007, "Successful SSH/console login"?

    ...I would have considered a failed su attempt as a threat and should be notified. 


    I see your point, but if someone is already on your box, and if that person wants root access, there are many many ways to do this without the 'su' command. The only secure way to handle this situation is to not give someone ssh/console access. Notification on successful/failed 'su' is therefor often considered useless, because "it's to late".

    I'll file a feature-request anyway.
Cookie Information Banner