Hej!
Die Cron Geschichten sind mir jetzt klar. Das log AuthLog ist aber noch voll von den anderen Einträgen: Feb 20 21:11:12 vs2801 saslauthd[11066]: pam_unix(smtp:auth): check pass; user unknown
Jede Logmeldung hat eine "Domäne". Bei Meldungen der Domäne "Auth" ist bei dir offenbar konfiguriert, dass die Meldungen sowohl im allgemeinen Log landen als auch im AuthLog. Beide Logmeldungen sind identisch und bedeuten das selbe; die Aufteilung dient allein der Übersichtlichkeit, es gilt entsprechend die Erläuterung für die identische Zeile im allg. Log.
(4) und hier sagt uns der saslauthd sogar, mit welchem Namen es versucht wurde.
Er geht eine Liste durch wärend der ganzen Zeit. Etwa 10-20 deutsche Namen plus einige technische Begiffe und ein paar Zahlenkombis. Darauf checkt er dann einige Dutzend Passwörter. Nichts was darauf hinweist das der "Angreifer" mich oder mein System kennt.
Das ist "üblich", auch bei SSH.
Ich kann mich Andreas nur beipflichten: Da sucht wohl jemand einen Spamhost.
OK, Danke für eure Einschätzung. Ich werde nochmal meine UserListe und deren Passwortstärke prüfen.
Das ist immer eine gute Idee (praktischerweise implementiert als Policy-Enforcement am Passwortsetzungs-/Änderungsmechanismus).
Kann oder muss ich nocht irgdenwas tun?
Kann: Via Firewall die Anzahl der Verbindungen pro Zeit limitieren => Angreifer kann deutlich weniger Passwörter durchprobieren. Der Sicherheitsgewinn ist, insb. in Relation zum Aufwand, wenn man sich nicht sowieso schonmal damit befasst hat, wenn die Passwörter ohnehin nichts einfaches sind, eher gering.
Beste Grüße Fabian