KZoli: Új oldal, tartalma: „A naplózást a ''syslog-ng''-vel végeztetjük (azt hisszük, hogy "okosabb", mint a Debian alapértelmezett ''rsyslog''-ja), és a logokat a ''logcheck''-kel figyelj…”

2018-05-29T21:23:30Z

Új oldal, tartalma: „A naplózást a ''syslog-ng''-vel végeztetjük (azt hisszük, hogy "okosabb", mint a Debian alapértelmezett ''rsyslog''-ja), és a logokat a ''logcheck''-kel figyelj…”

Új lap

A naplózást a ''syslog-ng''-vel végeztetjük (azt hisszük, hogy "okosabb", mint a Debian alapértelmezett ''rsyslog''-ja), és a logokat a ''logcheck''-kel figyeljük.
==Telepítés==
A szokásos módon:
<pre>apt-get install syslog-ng logcheck logcheck-database # + dependens könyvtárak</pre>
A fenti parancs eltávolítja az alapértelmezett ''rsyslog''-ot.

==Logrotate módosítások==
A rotáláskor a ''logrotate'' megkísérel lefuttatni egy scriptet a ''/tmp''-ben. Mivel a security policy-nk szerint a ''/tmp'' nem futtatható, ez hibát okoz. Ezért a ''root'' nevében lefutó ''logrotate'' számára a ''/root'' alatt létrehozunk egy ''tmp'' könyvtárat:
<pre>mkdir /root/tmp</pre>
és a logrotate számára előírjuk ennek használatát:
<pre>-rwxr-xr-x root root /etc/cron.daily/logrotate

[...]
export TMPDIR=/root/tmp
[...]</pre>

==Logcheck==
A ''logcheck'' lényegében egy ''cron''-ból futtatott script, amely az utolsó futtatása óta készült logrészleteket összehasonlítja megadott reguláris kifejezésekkel, és az egyezéseket kigyűjtve (az előírtak figyelmen kívül hagyásával), email-ben elküldi. Telepítés után a következő állományokat kell megszerkeszteni. A ''logcheck.conf''-ot teljesen cseréljük le:
<pre>-rw-r----- root logcheck /etc/logcheck/logcheck.conf

# Logcheck beallitasok

# Az ignore.d.server szabalyokat alkalmazza
REPORTLEVEL="server"

# A root-nak kuldje a levelet
SENDMAILTO="root"

# Fully qualified domain nev legyen a subjectben
FQDN=1

# Adja hozza a [logcheck] prefixet a subjecthez
ADDTAG="yes"</pre>
Az alapértelmezetteken kívül figyelje a ''kern.log''-ot és a ''messages''-t is (két új sor):
<pre>-rw-r----- root logcheck /etc/logcheck/logcheck.logfiles

# these files will be checked by logcheck
# This has been tuned towards a default syslog install
/var/log/syslog
/var/log/messages
/var/log/kern.log
/var/log/auth.log</pre>
Reboot-kor, és normális üzemben 5 percenként fusson le (idő módosítása):
<pre>-rw-r--r-- root root /etc/cron.d/logcheck

# /etc/cron.d/logcheck: crontab entries for the logcheck package

PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root

@reboot logcheck if [ -x /usr/sbin/logcheck ]; then nice -n10 /usr/sbin/logcheck -R; fi
0-59/5 * * * * logcheck if [ -x /usr/sbin/logcheck ]; then nice -n10 /usr/sbin/logcheck; fi

# EOF</pre> <small>''Megjegyzés: a maintainer óránként, vagy még ritkábban futtatja a logcheck-et. Ha az erőforrások megengedik, talán érdemes ezt gyakoribbra venni egy esetleges illegális távoli bejelentkezés vagy más biztonsági esemény korai jelzése érdekében. Ez kevesebb időt hagy a behatolónak arra is, hogy root jogot szerezve leállítsa a riasztást.''</small>

Végül szigorítsuk meg a jelenleg eléggé liberális jogosultságokat a beállítások könyvtárában:
<pre>chmod -R o-rwx /etc/logcheck</pre>
===Figyelmen kívül hagyandók beállítása===
Néhány logbejegyzést érdemes figyelmen kívül hagyatni, az ezekre passzoló reguláris kifejezéseket a ''/etc/logcheck/ignore.d.server'' alatt egy-egy kivétel állományba kell felvenni.
* ''syslog-ng'' log statisztika
<pre>touch /etc/logcheck/ignore.d.server/syslog-ng-fix
chown root:logcheck /etc/logcheck/ignore.d.server/syslog-ng-fix
chmod 640 /etc/logcheck/ignore.d.server/syslog-ng-fix
mcedit /etc/logcheck/ignore.d.server/syslog-ng-fix</pre>
<pre>-rw-r----- root logcheck /etc/logcheck/syslog-ng-fix

^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ syslog-ng\[[[:digit:]]{1,5}\]: Log statistics</pre>
====Speciális esetek====
<small>Az alábbi javításokra csak speciális esetekben van szükség, de rutinszerű felvételük sem hiba.</small>
* csak osztott hálózaton lévő gép esetén "marslakó" ''(martian source/destination)'' broadcast-ok
<pre>touch /etc/logcheck/ignore.d.server/kernel-martians
chown root:logcheck /etc/logcheck/ignore.d.server/kernel-martians
chmod 640 /etc/logcheck/ignore.d.server/kernel-martians
mcedit /etc/logcheck/ignore.d.server/kernel-martians</pre>
<pre>-rw-r----- root logcheck /etc/logcheck/ignore.d.server/kernel-martians

^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ kernel:( \[ *[[:digit:]]+\.[[:digit:]]+\])? martian source 255.255.255.255
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ kernel:( \[ *[[:digit:]]+\.[[:digit:]]+\])? martian destination 0.0.0.0</pre>
* csak DHCP szerver esetén nem IP-vel hanem hostnévvel hivatkozás
<pre>touch /etc/logcheck/ignore.d.server/dhcp-fix
chown root:logcheck /etc/logcheck/ignore.d.server/dhcp-fix
chmod 640 /etc/logcheck/ignore.d.server/dhcp-fix
mcedit /etc/logcheck/ignore.d.server/dhcp-fix</pre>
<pre>-rw-r----- root logcheck /etc/logcheck/dhcp-fix

^\w{3} [ :0-9]{11} [._[:alnum:]-]+ dhcpd: uid lease [.0-9]{7,15} for client [:[:xdigit:]]+ is duplicate on [._[:alnum:]-]+$</pre>

===Mindenképpen jelentendők beállítása===
Azokat a bejegyzéseket, amelyeket a logcheck alapértelmezésben figyelmen kívül hagy, de mi szeretnénk, ha jelentené, a ''/etc/logcheck/cracking.d'' vagy ''/etc/logcheck/violations.d'' alatt felvett, a bejegyzésre passzoló reguláris kifejezést tartalmazó állományba kell beírni.
* belépés SSH-val és jelszavas authentikációval (házirend szerint a kulccsal történő authentikáció az elfogadott):
<pre>touch /etc/logcheck/violations.d/ssh
chown root:logcheck /etc/logcheck/violations.d/ssh; chmod 640 /etc/logcheck/violations.d/ssh
mcedit /etc/logcheck/violations.d/ssh</pre>
<pre>-rw-r----- root logcheck /etc/logcheck/violations.d/ssh

^\w{3} [ :0-9]{11} [._[:alnum:]-]+ sshd\[[0-9]+\]: Accepted password for</pre>

Debian szerver logolás (Squeeze) - Laptörténet

KZoli: Új oldal, tartalma: „A naplózást a ''syslog-ng''-vel végeztetjük (azt hisszük, hogy "okosabb", mint a Debian alapértelmezett ''rsyslog''-ja), és a logokat a ''logcheck''-kel figyelj…”