KZoli: Új oldal, tartalma: „A Debian Jessie egyik lényeges újdonsága a [http://www.freedesktop.org/wiki/Software/systemd/ systemd System and Service Manager] bevezetése, amely a rendszeresemé…”

2018-05-29T20:49:50Z

Új oldal, tartalma: „A Debian Jessie egyik lényeges újdonsága a [http://www.freedesktop.org/wiki/Software/systemd/ systemd System and Service Manager] bevezetése, amely a rendszeresemé…”

Új lap

A Debian Jessie egyik lényeges újdonsága a [http://www.freedesktop.org/wiki/Software/systemd/ systemd System and Service Manager] bevezetése, amely a rendszereseményeket egy bináris adatbázisban (''journal'') rögzíti és ennek feldolgozására számos lehetőséget ad. Noha valószínűleg sokkal hatékonyabb lenne a releváns eseményeket magából az adatbázisból kiválogattatni, ebben a leírásban kihasználjuk, hogy az eseményeket a ''systemd'' képes a ''syslog''-nak feladni, így a naplózást a régi megközelítésnek megfelelően a ''syslog-ng''-vel végeztetjük, és a logokat a ''logcheck''-kel figyeljük. Nem használunk naplószervert, az értesítéseket email-ben küldjük el.
==Elvi megfontolások==
A ''systemd'' naplózó szolgáltatása elvileg feleslegessé teszi a hagyományos, szövegállományokra bontott naplók kezelését. A Jessie-ben debütáló ''systemd journal'' jól strukturált, tömörített, tagelt és indexelt bináris adatbázis, melynek kezelésére hatékony eszköz áll rendelkezésre ([http://0pointer.de/blog/projects/journalctl.html journalctl]). A szöveges naplózásról erre történő áttéréshez azonban - szerintem - az alábbi fejlesztésekre lenne szükség ('''TODO!)''':
* hatékony együttműködés a sok naplóbejegyzést termelő, eleddig fájlokba dolgozó szolgáltatások (pl. Apache webszerver) és a ''systemd'' naplózó szolgáltatása között. Lehetséges, hogy a ''journaling'' nagy terhelés esetén sem számottevő jelentős többlet erőforrást, ezt azonban meg kellene vizsgálni.
* a hagyományos ''logrotate'' konfigurációkban megfogalmazotthoz hasonló policy, amely a különféle jellegű naplóesemények megőrzésének idejét szabályozza. Jelenleg a ''journal'' egyszerűen perzisztenssé tehető (alapértelmezésben a ''/run'' hierarchiában keletkezik, így minden rendszerindításkor kiürül), de számára csak egy általános méretkorlát van beállítva. Nyilvánvaló, hogy a méretkorláton belül különböző mennyiségű (visszamenőlegességű) tűzfal- webszerver-, smtp-, stb. log megtartása lenne szükséges, és ez biztosan be is állítható, azonban ezek a beállítások a Debian terjesztésnek (még) nem részei.
* a (közel) valós idejű értesítésekért felelős ''logcheck'' átalakítása úgy, hogy ne csak natív szöveges állományokat, hanem a ''journalctl'' segítségével(?) a ''journal''-ből kinyert adatokat is tudjon elemezni. Léteznek erre a célra a ''logcheck''-től független ''parser'' projektek is (ld. pl. [https://pypi.python.org/pypi/journalwatch/ itt]), illetve valószínűnek tartom, hogy a valós idejű értesítés külön eszköz nélkül, magában a ''journal'' kezelőben is definiálható(? lesz?), de ezek az eszközök és beállítások a Debian terjesztésnek (még) nem részei.
Amíg a fentiek problémát jelentenek, célszerűbbnek tűnik a szöveges naplózás megtartása, kihasználva azt, hogy a ''systemd'' a telepített, hagyományos ''syslogd'' (''rsyslogd'', ''syslog-ng'', stb.) számára képes az általa kezelt eseményeket feladni, vagyis a ''journaling'' a rendszernapló szolgáltatás számára (közel) transzparens lehet.

==Telepítés==
A szükséges komponenseket a szokásos módon telepítjük:
<pre>apt-get install syslog-ng logcheck logcheck-database # +: dependens könyvtárak</pre>
A fenti művelet eltávolítja az alapértelmezett ''rsyslog''-ot, helyette a ''syslog-ng'' lesz az alapértelmezett naplózó démon. A Debian Jessie-ben a ''journal'' feladása alapértelmezetten be van állítva, így a ''syslog-ng'' a korábbi Debian terjesztésekkel analóg módon működik.

==Logrotate módosítások==
A rotáláskor a ''logrotate'' megkísérel lefuttatni egy scriptet a ''/tmp''-ben. Mivel a biztonsági házirendünk szerint a ''/tmp'' nem futtatható, ez hibát okoz. Ezért a ''root'' nevében lefutó ''logrotate'' számára a ''/etc'' alatt létrehozunk egy ''logrotate.tmp'' könyvtárat:
<pre>mkdir /etc/logrotate.tmp</pre>
és a logrotate számára előírjuk ennek használatát:
<pre>-rwxr-xr-x root root /etc/cron.daily/logrotate

[...]
export TMPDIR=/etc/logrotate.tmp
[...]</pre>
==Logcheck==
A ''logcheck'' lényegében egy ''cron''-ból futtatott script, amely az utolsó futtatása óta készült logrészleteket összehasonlítja megadott reguláris kifejezésekkel, és az egyezéseket kigyűjtve (az előírtak figyelmen kívül hagyásával), email-ben elküldi. Telepítés után a ''logcheck.conf''-ot teljesen cseréljük le:
<pre>mv /etc/logcheck/logcheck.conf /etc/logcheck/logcheck.conf.bak
touch /etc/logcheck/logcheck.conf; chown root:logcheck /etc/logcheck/logcheck.conf; chmod 640 /etc/logcheck/logcheck.conf
mcedit /etc/logcheck/logcheck.conf</pre>
Az új állomány beállításai:
<pre>-rw-r----- root logcheck /etc/logcheck/logcheck.conf

# Logcheck custom settings

# Filtering rules from ignore.d.server
REPORTLEVEL="server"

# Mail goes to the local administrator
SENDMAILTO="root"

# The hostname in the subject of generated mails should be fully qualified
FQDN=1

# Controls [logcheck] prefix on Subject: lines
ADDTAG="yes"</pre>
Az alapértelmezetteken kívül a logcheck figyelje a ''kern.log''-ot és a ''messages''-t is (két új sor):
<pre>-rw-r----- root logcheck /etc/logcheck/logcheck.logfiles

# these files will be checked by logcheck
# This has been tuned towards a default syslog install
/var/log/syslog
/var/log/messages
/var/log/kern.log
/var/log/auth.log</pre>
Reboot-kor, és normális üzemben 5 percenként fusson le az ellenőrzés (idő módosítása):
<pre>-rw-r--r-- root root /etc/cron.d/logcheck

# /etc/cron.d/logcheck: crontab entries for the logcheck package

PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root

@reboot logcheck if [ -x /usr/sbin/logcheck ]; then nice -n10 /usr/sbin/logcheck -R; fi
0-59/5 * * * * logcheck if [ -x /usr/sbin/logcheck ]; then nice -n10 /usr/sbin/logcheck; fi

# EOF</pre> <small>''Megjegyzés: a maintainer óránként, vagy még ritkábban futtatja a logcheck-et. Ha az erőforrások megengedik, talán érdemes ezt gyakoribbra venni egy esetleges illegális távoli bejelentkezés vagy más biztonsági esemény korai jelzése érdekében. Ez kevesebb időt hagy a behatolónak arra is, hogy root jogot szerezve leállítsa a riasztást.''</small>

Végül szigorítsuk meg a jelenleg eléggé liberális jogosultságokat a beállítások könyvtárában:
<pre>chmod -R o-rwx /etc/logcheck</pre>
===Figyelmen kívül hagyandók beállítása===
Néhány logbejegyzést érdemes figyelmen kívül hagyatni, az ezekre passzoló reguláris kifejezéseket a ''/etc/logcheck/ignore.d.server'' alatt egy-egy kivétel állományba kell felvenni.
* ''syslog-ng'' log statisztika
<pre>touch /etc/logcheck/ignore.d.server/syslog-ng-fix
chown root:logcheck /etc/logcheck/ignore.d.server/syslog-ng-fix
chmod 640 /etc/logcheck/ignore.d.server/syslog-ng-fix
mcedit /etc/logcheck/ignore.d.server/syslog-ng-fix</pre>
<pre>-rw-r----- root logcheck /etc/logcheck/syslog-ng-fix

^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ syslog-ng\[[[:digit:]]{1,5}\]: Log statistics</pre>
* ''PAM session'' bejegyzések (bővebben pl. [https://wiki.debian.org/systemd/logcheck itt])
<pre>touch /etc/logcheck/ignore.d.server/pam-fix
chown root:logcheck /etc/logcheck/ignore.d.server/pam-fix
chmod 640 /etc/logcheck/ignore.d.server/pam-fix
mcedit /etc/logcheck/ignore.d.server/pam-fix</pre>
<pre>-rw-r----- root logcheck /etc/logcheck/pam-ng-fix

# new pam format with systemd
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ systemd: pam_[[:alnum:]]+$[[:alnum:]-]+:[[:alnum:]]+$: session opened for user [.[:alnum:]-]+ by (root|LOGIN)?$uid=0$$
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ systemd: pam_[[:alnum:]]+$[[:alnum:]-]+:[[:alnum:]]+$: session closed for user [.[:alnum:]-]+$
</pre>
* ''sshd failures'' (''opcionálisan'', ha nem érdekelnek a gyakori, random próbálkozások)
<pre>touch /etc/logcheck/ignore.d.server/ssh-failures
chown root:logcheck /etc/logcheck/ignore.d.server/ssh-failures
chmod 640 /etc/logcheck/ignore.d.server/ssh-failures
mcedit /etc/logcheck/ignore.d.server/ssh-failures</pre>
<pre>-rw-r----- root logcheck /etc/logcheck/ignore.d.server/ssh-failures

# Originally from https://raw.githubusercontent.com/ties/logcheck-extrarules/master/ignore.d.server/local-ssh
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ sshd\[[[:digit:]]+\]: warning: /etc/hosts\.(allow|deny), line [[:digit:]]+: can't verify hostname: getaddrinfo$[._[:alnum:]-]+, AF_INET$ failed$
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ sshd\[[[:digit:]]+\]: warning: /etc/hosts\.(allow|deny), line [[:digit:]]+: host name/(name|address) mismatch: [._[:alnum:]-]+ != [._[:alnum:]-]+$
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ sshd\[[[:digit:]]+\]: warning: can\'t get client address: Connection reset by peer$
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ sshd\[[[:digit:]]+\]: Could not write ident string to
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ sshd\[[[:digit:]]+\]: fatal: Write failed: Broken pipe$
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ sshd\[[[:digit:]]+\]: fatal: Write failed: Connection (timed out|reset by peer)$
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ sshd\[[[:digit:]]+\]: fatal: Write failed: Connection reset by peer \[preauth\]$
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ sshd\[[[:digit:]]+\]: error: PAM: User not known to the underlying authentication module for i(llegal|nvalid) user [^[:space:]]+ from ([:.[:xdigit:]]+|UNKNOWN|[-_.[:alnum:]]+)$
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ sshd\[[[:digit:]]+\]: error: PAM: Authentication failure for [^[:space:]]+ from ([:.[:xdigit:]]+|UNKNOWN|[-_.[:alnum:]]+)$
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ sshd\[[[:digit:]]+\]: I(llegal|nvalid) user [^[:space:]]+ from ([:.[:xdigit:]]+|UNKNOWN)$
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ sshd\[[[:digit:]]+\]: Failed (keyboard-interactive/pam|password|none) for (i(llegal|nvalid) user )?[^[:space:]]+ from ([:.[:xdigit:]]+|UNKNOWN|[-_.[:alnum:]]+) port [[:digit:]]{1,5} ssh2?$
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ sshd\[[[:digit:]]+\]: ($pam_unix$|pam_unix$sshd?:auth$:) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=[^[:space:]]+([[:space:]]+user=[^[:space:]]+)?$
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ sshd\[[[:digit:]]+\]: ($pam_unix$|pam_unix$sshd?:auth$:) check pass; user unknown$
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ sshd\[[[:digit:]]+\]: fatal: recv_rexec_state: ssh_msg_recv failed$
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ sshd\[[[:digit:]]+\]: input_userauth_request: invalid user [-_.[:alnum:]]+ \[preauth\]$
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ sshd\[[[:digit:]]+\]: fatal: Read from socket failed: Connection reset by peer \[preauth\]$
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ sshd\[[[:digit:]]+\]: (error: )?Received disconnect from [[:alnum:].:]+:
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ sshd\[[[:digit:]]+\]: Connection closed by [[:alnum:].:]+ \[preauth\]$
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ sshd\[[[:digit:]]+\]: Disconnecting: Change of username or service not allowed:
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ sshd\[[[:digit:]]+\]: Disconnecting: Too many authentication failures for
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ sshd\[[[:digit:]]+\]: Disconnecting: Packet corrupt
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ sshd\[[[:digit:]]+\]: PAM [[:digit:]]+ more authentication failure(s)?;
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ sshd\[[[:digit:]]+\]: PAM service$sshd$ ignoring max retries; [[:digit:]]{1,2} > [[:digit:]]$
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ sshd\[[[:digit:]]+\]: subsystem(s)? request for sftp by user [-._[:alnum:]]+$
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ sshd\[[[:digit:]]+\]: Corrupted MAC on input\. \[preauth\]$
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ sshd\[[[:digit:]]+\]: fatal: no matching cipher found:
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ sshd\[[[:digit:]]+\]: fatal: Unable to negotiate a key exchange method
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ sshd\[[[:digit:]]+\]: Bad protocol version identification
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ sshd\[[[:digit:]]+\]: Bad packet length
^\w{3} [ :[:digit:]]{11} ([._[:alnum:]-]+)? sshd\[[[:digit:]]+\]: last message repeated [[:digit:]]+ times$
</pre>
''Megjegyzés:'' a Debian korábbi verzióihoz képest változás, hogy nincs az ''ignore'' szabálykészletben (azaz jelentendőnek számít) a sima (1024 bites) DSA kulccsal történő bejelentkezés. Nézetem szerint ez helyes, és csak akkor vegyük fel figyelmen kívül hagyandónak, ha nincs lehetőségünk az elavult DSA kulcsokat RSA-ra cseréltetni. A szükséges ''ignore'' szabály:
<pre># Ignoring DSA public key authentication
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ sshd\[[[:digit:]]+\]: Accepted publickey for [^[:space:]]+ from [^[:space:]]+ port [[:digit:]]+( (ssh|ssh2))?(: DSA ([[:xdigit:]]{2}:){15}[[:xdigit:]]{2})?$
</pre>
====Speciális esetek====
<small>Az alábbi javításokra csak speciális esetekben van szükség, de rutinszerű felvételük sem hiba.</small>
* ''speciálisan'' DHCP-vel kiszolgált hálózaton lévő gép esetén az ''automatic private IP address'' (169.254.0.0/16 B osztály) alhálózat forgalma
<pre>touch /etc/logcheck/ignore.d.server/kernel-apipa
chown root:logcheck /etc/logcheck/ignore.d.server/kernel-apipa
chmod 640 /etc/logcheck/ignore.d.server/kernel-apipa
mcedit /etc/logcheck/ignore.d.server/kernel-apipa</pre>
<pre>-rw-r----- root logcheck /etc/logcheck/ignore.d.server/kernel-apipa

^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ kernel:( \[ *[[:digit:]]+\.[[:digit:]]+\])? martian source 169.254
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ kernel:( \[ *[[:digit:]]+\.[[:digit:]]+\])? martian destination 169.254
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ kernel:( \[ *[[:digit:]]+\.[[:digit:]]+\])? __ratelimit:
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ kernel:( \[ *[[:digit:]]+\.[[:digit:]]+\])? net_ratelimit:</pre>
* ''speciálisan'' egy osztott hálózaton lévő gép esetén "marslakó" ''(martian source/destination)'' broadcast-ok
<pre>touch /etc/logcheck/ignore.d.server/kernel-martians
chown root:logcheck /etc/logcheck/ignore.d.server/kernel-martians
chmod 640 /etc/logcheck/ignore.d.server/kernel-martians
mcedit /etc/logcheck/ignore.d.server/kernel-martians</pre>
<pre>-rw-r----- root logcheck /etc/logcheck/ignore.d.server/kernel-martians

^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ kernel:( \[ *[[:digit:]]+\.[[:digit:]]+\])? martian source 255.255.255.255
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ kernel:( \[ *[[:digit:]]+\.[[:digit:]]+\])? martian destination 0.0.0.0
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ kernel:( \[ *[[:digit:]]+\.[[:digit:]]+\])? __ratelimit:
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ kernel:( \[ *[[:digit:]]+\.[[:digit:]]+\])? net_ratelimit:</pre>
* ''speciálisan'' DHCP szerver esetén nem IP-vel hanem hostnévvel hivatkozás
<pre>touch /etc/logcheck/ignore.d.server/dhcp-fix
chown root:logcheck /etc/logcheck/ignore.d.server/dhcp-fix
chmod 640 /etc/logcheck/ignore.d.server/dhcp-fix
mcedit /etc/logcheck/ignore.d.server/dhcp-fix</pre>
<pre>-rw-r----- root logcheck /etc/logcheck/dhcp-fix

^\w{3} [ :0-9]{11} [._[:alnum:]-]+ dhcpd: uid lease [.0-9]{7,15} for client [:[:xdigit:]]+ is duplicate on [._[:alnum:]-]+$</pre>

===Mindenképpen jelentendők beállítása===
Azokat a bejegyzéseket, amelyeket a logcheck alapértelmezésben figyelmen kívül hagy, de mi szeretnénk, ha jelentené, a ''/etc/logcheck/cracking.d'' vagy ''/etc/logcheck/violations.d'' alatt felvett, a bejegyzésre passzoló reguláris kifejezést tartalmazó állományba kell beírni.
* belépés SSH-val és jelszavas authentikációval (házirend szerint a kulccsal történő authentikáció az elfogadott):
<pre>touch /etc/logcheck/violations.d/ssh
chown root:logcheck /etc/logcheck/violations.d/ssh; chmod 640 /etc/logcheck/violations.d/ssh
mcedit /etc/logcheck/violations.d/ssh</pre>
<pre>-rw-r----- root logcheck /etc/logcheck/violations.d/ssh

^\w{3} [ :0-9]{11} [._[:alnum:]-]+ sshd\[[0-9]+\]: Accepted password for</pre>
A fenti beállítások a logcheck következő lefutásakor azonnal érvényesülnek.

Debian szerver logolás (Jessie) - Laptörténet

KZoli: Új oldal, tartalma: „A Debian Jessie egyik lényeges újdonsága a [http://www.freedesktop.org/wiki/Software/systemd/ systemd System and Service Manager] bevezetése, amely a rendszeresemé…”