Senha do admin - registro de mudanças



  • Bom, hoje tive problema com pfsense ( versao 1.2.3), a senha do admin foi trocada e nao se sabe se foi pelo console ou pela web, ou a data e horário.
    Tem como verificar no sistema quando essa mudança ocorreu? Sei que foi entre 2 dias, mas precisaria mais detalhes.



  • Na aba de restauração de backup, tem uma lista com as ultimas alterações.



  • Obrigado Marcello, ja consegui achar ….
    Vendo os los do ligthsqui deu pra descobrir o IP.... porem ..... Existe algum log do squid ou do sistema que tenha alem do ip o mac-adress da maquina que acessou? Nos logs do squido so me retorna o site e o ip da maquina que acessou



  • Log do Mac nunca vi, mas se sua rede for pequena, Voce pode amarrar mac com ip no dhcp para sempre entregar o mesma configuracao para a máquina.

    Para descobrir o Mac, estando no mesmo segmento de rede, Voce pode usar o arping ou Arp - a no seu micro(depois de pingar o ip)



  • O arp so me da a tabela recente de macs, nao de dias anteriores…



  • @marcosjost:

    O arp so me da a tabela recente de macs, nao de dias anteriores…

    Por isso sugeri voce fixar os ips no dhcp.

    Desta forma, daqui pra frente, voce vais aber exatamente que estação fez o 'serviço'



  • O DHCP acaba nao resolvendo, pois nada impede que a pessoa coloque um ip fixo e faça o acesso.
    O que precisaria é um sistema para auditoria de eventos.



  • @marcosjost:

    O DHCP acaba nao resolvendo, pois nada impede que a pessoa coloque um ip fixo e faça o acesso.
    O que precisaria é um sistema para auditoria de eventos.

    Hmmm… desculpe-me @marcosjost... mas.... se isso abaixo ocorreu…

    @marcosjost:

    Bom, hoje tive problema com pfsense ( versao 1.2.3), a senha do admin foi trocada…

    … Foi por falha de quem deixou facilitada a troca da senha.  ???
    Ainda mais se estava no padrão…  ::)



  • @johnnybe
    Ae é que está….senha era bem forte. Acredito que algum dos adminstradores tenha logado no pfsense em outra maquina, que provavelmente salvou a seção e possibilitou que outra pessoa acessasse, quando usou essa máquina.



  • @marcosjost:

    @johnnybe
    Ae é que está….senha era bem forte. Acredito que algum dos adminstradores tenha logado no pfsense em outra maquina, que provavelmente salvou a seção e possibilitou que outra pessoa acessasse, quando usou essa máquina.

    Putz… então, audita seus admins! Como eu sempre digo, a falha é do usuáriopior ainda se for admin!  ::)
    Deve ter muita gente aí precisando de treinamento básico. Sendo administrador, conheço vários lugares onde a guilhotina entrou em ação.
    Não há nada que proteja invasões como esta. Apenas a educação visando a Engenharia Social pode… quando muito!  :'(



  • Cara é a versão 1? atualiza para versão 2, tem a possibilidade de se trabalhar com vários usuários.



  • @johnnybe
    foram tomadas algumas providencias …  :P
    Este servidor está deixando de ser o principal da rede, já tenho um pfsense 2 rodando e cada admin com seu usuário e uma cartilha de recomendações.... :P
    @neriberto
    Como falei, este serviodr já esta sendo substituído por um com a versão 2.
    Pra aposenta-lo definitivamente so falta sanar uns problemas com acessos de vpns.


Locked