https://admin.wiki.kzoli.hu/index.php?action=history&feed=atom&title=Debian_szerver_logol%C3%A1s_%28Wheezy%29
Debian szerver logolás (Wheezy) - Laptörténet
2026-06-07T12:38:23Z
Az oldal laptörténete a wikiben
MediaWiki 1.43.8
https://admin.wiki.kzoli.hu/index.php?title=Debian_szerver_logol%C3%A1s_(Wheezy)&diff=89&oldid=prev
KZoli: Új oldal, tartalma: „A naplózást a ''syslog-ng''-vel végeztetjük (azt hisszük, hogy "okosabb", mint a Debian alapértelmezett ''rsyslog''-ja), és a logokat a ''logcheck''-kel figyelj…”
2018-05-29T21:34:12Z
<p>Új oldal, tartalma: „A naplózást a ''syslog-ng''-vel végeztetjük (azt hisszük, hogy "okosabb", mint a Debian alapértelmezett ''rsyslog''-ja), és a logokat a ''logcheck''-kel figyelj…”</p>
<p><b>Új lap</b></p><div>A naplózást a ''syslog-ng''-vel végeztetjük (azt hisszük, hogy "okosabb", mint a Debian alapértelmezett ''rsyslog''-ja), és a logokat a ''logcheck''-kel figyeljük.<br />
==Telepítés==<br />
A szokásos módon:<br />
<pre>apt-get install syslog-ng logcheck logcheck-database # + dependens könyvtárak</pre><br />
A fenti parancs eltávolítja az alapértelmezett ''rsyslog''-ot.<br />
<br />
==Logrotate módosítások==<br />
A rotáláskor a ''logrotate'' megkísérel lefuttatni egy scriptet a ''/tmp''-ben. Mivel a biztonsági házirendünk szerint a ''/tmp'' nem futtatható, ez hibát okoz. Ezért a ''root'' nevében lefutó ''logrotate'' számára a ''/etc'' alatt létrehozunk egy ''logrotate.tmp'' könyvtárat:<br />
<pre>mkdir /etc/logrotate.tmp</pre><br />
és a logrotate számára előírjuk ennek használatát:<br />
<pre>-rwxr-xr-x root root /etc/cron.daily/logrotate<br />
<br />
[...]<br />
export TMPDIR=/etc/logrotate.tmp<br />
[...]</pre><br />
<br />
==Logcheck==<br />
A ''logcheck'' lényegében egy ''cron''-ból futtatott script, amely az utolsó futtatása óta készült logrészleteket összehasonlítja megadott reguláris kifejezésekkel, és az egyezéseket kigyűjtve (az előírtak figyelmen kívül hagyásával), email-ben elküldi. Telepítés után a ''logcheck.conf''-ot teljesen cseréljük le:<br />
<pre>mv /etc/logcheck/logcheck.conf /etc/logcheck/logcheck.conf.bak<br />
touch /etc/logcheck/logcheck.conf; chown root:logcheck /etc/logcheck/logcheck.conf; chmod 640 /etc/logcheck/logcheck.conf<br />
mcedit /etc/logcheck/logcheck.conf</pre><br />
Az új állomány beállításai:<br />
<pre>-rw-r----- root logcheck /etc/logcheck/logcheck.conf<br />
<br />
# Logcheck beallitasok<br />
<br />
# Az ignore.d.server szabalyokat alkalmazza<br />
REPORTLEVEL="server"<br />
<br />
# A root-nak kuldje a levelet<br />
SENDMAILTO="root"<br />
<br />
# Fully qualified domain nev legyen a subjectben<br />
FQDN=1<br />
<br />
# Adja hozza a [logcheck] prefixet a subjecthez<br />
ADDTAG="yes"</pre><br />
Az alapértelmezetteken kívül a logcheck figyelje a ''kern.log''-ot és a ''messages''-t is (két új sor):<br />
<pre>-rw-r----- root logcheck /etc/logcheck/logcheck.logfiles<br />
<br />
# these files will be checked by logcheck<br />
# This has been tuned towards a default syslog install<br />
/var/log/syslog<br />
/var/log/messages<br />
/var/log/kern.log<br />
/var/log/auth.log</pre> <br />
Reboot-kor, és normális üzemben 5 percenként fusson le az ellenőrzés (idő módosítása):<br />
<pre>-rw-r--r-- root root /etc/cron.d/logcheck<br />
<br />
# /etc/cron.d/logcheck: crontab entries for the logcheck package<br />
<br />
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin<br />
MAILTO=root<br />
<br />
@reboot logcheck if [ -x /usr/sbin/logcheck ]; then nice -n10 /usr/sbin/logcheck -R; fi<br />
0-59/5 * * * * logcheck if [ -x /usr/sbin/logcheck ]; then nice -n10 /usr/sbin/logcheck; fi<br />
<br />
# EOF</pre> <small>''Megjegyzés: a maintainer óránként, vagy még ritkábban futtatja a logcheck-et. Ha az erőforrások megengedik, talán érdemes ezt gyakoribbra venni egy esetleges illegális távoli bejelentkezés vagy más biztonsági esemény korai jelzése érdekében. Ez kevesebb időt hagy a behatolónak arra is, hogy root jogot szerezve leállítsa a riasztást.''</small><br />
<br />
Végül szigorítsuk meg a jelenleg eléggé liberális jogosultságokat a beállítások könyvtárában:<br />
<pre>chmod -R o-rwx /etc/logcheck</pre><br />
===Figyelmen kívül hagyandók beállítása===<br />
Néhány logbejegyzést érdemes figyelmen kívül hagyatni, az ezekre passzoló reguláris kifejezéseket a ''/etc/logcheck/ignore.d.server'' alatt egy-egy kivétel állományba kell felvenni.<br />
* ''syslog-ng'' log statisztika<br />
<pre>touch /etc/logcheck/ignore.d.server/syslog-ng-fix<br />
chown root:logcheck /etc/logcheck/ignore.d.server/syslog-ng-fix<br />
chmod 640 /etc/logcheck/ignore.d.server/syslog-ng-fix<br />
mcedit /etc/logcheck/ignore.d.server/syslog-ng-fix</pre><br />
<pre>-rw-r----- root logcheck /etc/logcheck/syslog-ng-fix<br />
<br />
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ syslog-ng\[[[:digit:]]{1,5}\]: Log statistics</pre><br />
* ''sshd'' failures (''opcionálisan'', ha nem érdekelnek a gyakori, random próbálkozások)<br />
<pre>touch /etc/logcheck/ignore.d.server/ssh-failures<br />
chown root:logcheck /etc/logcheck/ignore.d.server/ssh-failures<br />
chmod 640 /etc/logcheck/ignore.d.server/ssh-failures<br />
mcedit /etc/logcheck/ignore.d.server/ssh-failures</pre><br />
<pre>-rw-r----- root logcheck /etc/logcheck/ignore.d.server/ssh-failures<br />
<br />
# Originally from https://raw.githubusercontent.com/ties/logcheck-extrarules/master/ignore.d.server/local-ssh<br />
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ sshd\[[[:digit:]]+\]: warning: /etc/hosts\.(allow|deny), line [[:digit:]]+: can't verify hostname: getaddrinfo\([._[:alnum:]-]+, AF_INET\) failed$<br />
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ sshd\[[[:digit:]]+\]: warning: /etc/hosts\.(allow|deny), line [[:digit:]]+: host name/(name|address) mismatch: [._[:alnum:]-]+ != [._[:alnum:]-]+$<br />
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ sshd\[[[:digit:]]+\]: warning: can\'t get client address: Connection reset by peer$<br />
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ sshd\[[[:digit:]]+\]: Could not write ident string to<br />
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ sshd\[[[:digit:]]+\]: fatal: Write failed: Broken pipe$<br />
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ sshd\[[[:digit:]]+\]: fatal: Write failed: Connection (timed out|reset by peer)$<br />
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ sshd\[[[:digit:]]+\]: fatal: Write failed: Connection reset by peer \[preauth\]$<br />
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ sshd\[[[:digit:]]+\]: error: PAM: User not known to the underlying authentication module for i(llegal|nvalid) user [^[:space:]]+ from ([:.[:xdigit:]]+|UNKNOWN|[-_.[:alnum:]]+)$<br />
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ sshd\[[[:digit:]]+\]: error: PAM: Authentication failure for [^[:space:]]+ from ([:.[:xdigit:]]+|UNKNOWN|[-_.[:alnum:]]+)$<br />
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ sshd\[[[:digit:]]+\]: I(llegal|nvalid) user [^[:space:]]+ from ([:.[:xdigit:]]+|UNKNOWN)$<br />
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ sshd\[[[:digit:]]+\]: Failed (keyboard-interactive/pam|password|none) for (i(llegal|nvalid) user )?[^[:space:]]+ from ([:.[:xdigit:]]+|UNKNOWN|[-_.[:alnum:]]+) port [[:digit:]]{1,5} ssh2?$<br />
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ sshd\[[[:digit:]]+\]: (\(pam_unix\)|pam_unix\(sshd?:auth\):) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=[^[:space:]]+([[:space:]]+user=[^[:space:]]+)?$<br />
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ sshd\[[[:digit:]]+\]: (\(pam_unix\)|pam_unix\(sshd?:auth\):) check pass; user unknown$<br />
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ sshd\[[[:digit:]]+\]: fatal: recv_rexec_state: ssh_msg_recv failed$<br />
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ sshd\[[[:digit:]]+\]: input_userauth_request: invalid user [-_.[:alnum:]]+ \[preauth\]$<br />
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ sshd\[[[:digit:]]+\]: fatal: Read from socket failed: Connection reset by peer \[preauth\]$<br />
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ sshd\[[[:digit:]]+\]: Received disconnect from [[:alnum:].:]+:<br />
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ sshd\[[[:digit:]]+\]: Connection closed by [[:alnum:].:]+ \[preauth\]$<br />
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ sshd\[[[:digit:]]+\]: Disconnecting: Too many authentication failures for [[:alnum:]]+ \[preauth\]$<br />
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ sshd\[[[:digit:]]+\]: PAM [[:digit:]]+ more authentication failure(s)?;<br />
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ sshd\[[[:digit:]]+\]: PAM service\(sshd\) ignoring max retries; [[:digit:]]{1,2} > [[:digit:]]$<br />
^\w{3} [ :[:digit:]]{11} ([._[:alnum:]-]+)? sshd\[[[:digit:]]+\]: last message repeated [[:digit:]]+ times$<br />
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ sshd\[[[:digit:]]+\]: subsystem(s)? request for sftp by user [-._[:alnum:]]+$<br />
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ sshd\[[[:digit:]]+\]: Corrupted MAC on input\. \[preauth\]$<br />
</pre><br />
====Speciális esetek====<br />
<small>Az alábbi javításokra csak speciális esetekben van szükség, de rutinszerű felvételük sem hiba.</small><br />
* ''speciálisan'' DHCP-vel kiszolgált hálózaton lévő gép esetén az ''automatic private IP address'' (169.254.0.0/16 B osztály) alhálózat forgalma<br />
<pre>touch /etc/logcheck/ignore.d.server/kernel-apipa<br />
chown root:logcheck /etc/logcheck/ignore.d.server/kernel-apipa<br />
chmod 640 /etc/logcheck/ignore.d.server/kernel-apipa<br />
mcedit /etc/logcheck/ignore.d.server/kernel-apipa</pre><br />
<pre>-rw-r----- root logcheck /etc/logcheck/ignore.d.server/kernel-apipa<br />
<br />
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ kernel:( \[ *[[:digit:]]+\.[[:digit:]]+\])? martian source 169.254<br />
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ kernel:( \[ *[[:digit:]]+\.[[:digit:]]+\])? martian destination 169.254<br />
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ kernel:( \[ *[[:digit:]]+\.[[:digit:]]+\])? __ratelimit:<br />
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ kernel:( \[ *[[:digit:]]+\.[[:digit:]]+\])? net_ratelimit:</pre><br />
* ''speciálisan'' egy osztott hálózaton lévő gép esetén "marslakó" ''(martian source/destination)'' broadcast-ok<br />
<pre>touch /etc/logcheck/ignore.d.server/kernel-martians<br />
chown root:logcheck /etc/logcheck/ignore.d.server/kernel-martians<br />
chmod 640 /etc/logcheck/ignore.d.server/kernel-martians<br />
mcedit /etc/logcheck/ignore.d.server/kernel-martians</pre><br />
<pre>-rw-r----- root logcheck /etc/logcheck/ignore.d.server/kernel-martians<br />
<br />
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ kernel:( \[ *[[:digit:]]+\.[[:digit:]]+\])? martian source 255.255.255.255<br />
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ kernel:( \[ *[[:digit:]]+\.[[:digit:]]+\])? martian destination 0.0.0.0<br />
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ kernel:( \[ *[[:digit:]]+\.[[:digit:]]+\])? __ratelimit:<br />
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ kernel:( \[ *[[:digit:]]+\.[[:digit:]]+\])? net_ratelimit:</pre><br />
* ''speciálisan'' DHCP szerver esetén nem IP-vel hanem hostnévvel hivatkozás<br />
<pre>touch /etc/logcheck/ignore.d.server/dhcp-fix<br />
chown root:logcheck /etc/logcheck/ignore.d.server/dhcp-fix<br />
chmod 640 /etc/logcheck/ignore.d.server/dhcp-fix<br />
mcedit /etc/logcheck/ignore.d.server/dhcp-fix</pre><br />
<pre>-rw-r----- root logcheck /etc/logcheck/dhcp-fix<br />
<br />
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ dhcpd: uid lease [.0-9]{7,15} for client [:[:xdigit:]]+ is duplicate on [._[:alnum:]-]+$</pre><br />
<br />
===Mindenképpen jelentendők beállítása===<br />
Azokat a bejegyzéseket, amelyeket a logcheck alapértelmezésben figyelmen kívül hagy, de mi szeretnénk, ha jelentené, a ''/etc/logcheck/cracking.d'' vagy ''/etc/logcheck/violations.d'' alatt felvett, a bejegyzésre passzoló reguláris kifejezést tartalmazó állományba kell beírni.<br />
* belépés SSH-val és jelszavas authentikációval (házirend szerint a kulccsal történő authentikáció az elfogadott):<br />
<pre>touch /etc/logcheck/violations.d/ssh<br />
chown root:logcheck /etc/logcheck/violations.d/ssh; chmod 640 /etc/logcheck/violations.d/ssh<br />
mcedit /etc/logcheck/violations.d/ssh</pre><br />
<pre>-rw-r----- root logcheck /etc/logcheck/violations.d/ssh<br />
<br />
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ sshd\[[0-9]+\]: Accepted password for</pre><br />
A fenti beállítások a logcheck következő lefutásakor azonnal érvényesülnek.</div>
KZoli