Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

Strony: 1

 

#1  2012-04-15 12:28:16

  desavil - Użytkownik

desavil
Użytkownik
Zarejestrowany: 2010-11-02

Proxmox/Debian syslogd, brak

Witajcie.
Postanowiłem sobie na moich serwerach z systemem Debian zrobić logowanie ruchu (w razie czego). W przypadku systemu Proxmox jest to wręcz obowiązkowe, abym logował ruch serwerów VPS (dopiero będę je tworzył).

Postanowiłem więc skorzystać z najprostszego sposobu jakim jest iptables. Niestety nigdzie nie umiem znaleźć tych zapisanych logów hehe, więc poczytałem w internecie, że muszę mieć syslogd (który niby domyślnie jest w systemie). Niestety zarówno na Proxmox, jak i na Debian 5/6 z OVH nie odnalazłem pliku konfiguracyjnego /etc/syslog.conf

O ile w przypadku systemu Debian komenda: apt-get install syslogd działa, chociaż mam pewne obawy co do jego instalacji, gdyż pisze:

Kod:

Zostaną zainstalowane następujące dodatkowe pakiety:
  klogd sysklogd
Następujące pakiety zostaną USUNIĘTE:
  [b]rsyslog[/b]
Zostaną zainstalowane następujące NOWE pakiety:
  klogd sysklogd

Czy to nie namiesza w jakiś sposób w systemie?

W przypadku systemu Proxmox to kompletnie nie wiem co zrobić, gdyż podczas instalacji pisze:

Kod:

Pakiet syslogd jest pakietem wirtualnym zapewnianym przez:
  sysklogd 1.5-6
  busybox-syslogd 1:1.17.1-8
Należy jednoznacznie wybrać jeden z nich do instalacji.

E: Package 'syslogd' has no installation candidate

A jak zainstalowałem na tym systemie pakiet: syslog-ng, to już całkiem po systemie, gdyż usunął wszystkie pakiety odpowiadające za wizualizacje itp.

Pozdrawiam.

Offline

 

#2  2012-04-15 13:35:04

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Proxmox/Debian syslogd, brak

Pokaż wynik z Debiana:

Kod:

ls -l  /etc/*syslo*

oraz:

Kod:

dpkg -l | grep syslog

Poza tym iptables logi zapisuje w /var/log/messages lub /var/log/syslog za pomocą demona logowania, który jest w każej instalce Debiana.

Możeesz też logować do przestrzeni użytkownika za pomocą celu UlLOG z iptables i programu ulogd.

To by było na tyle
;-)

Ostatnio edytowany przez Jacekalex (2012-04-15 13:41:52)

W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#3  2012-04-15 14:10:39

  desavil - Użytkownik

desavil
Użytkownik
Zarejestrowany: 2010-11-02

Re: Proxmox/Debian syslogd, brak

@edit
ULOG + Iptables działa, zapisują się logi :)
Teraz takie pytanie, jakie byłoby optymalne logowanie tego ruchu, co powinienem zapisywać.
Czytałem że najlepiej logować tylko połączenie i zakończenie połączenia, jak to najlepiej zrobić? A co do serwerów VPS, czy również wystarczy na wypadek czegoś tylko to logować?

W internecie znalazłem takie coś, ale od razu po wprowadzeniu tego plik dosyć szybko nabiera rozmiarów:

Kod:

iptables -I INPUT -m state --state NEW -j ULOG --ulog-prefix INCOMING-CONN
iptables -I OUTPUT -m state --state NEW -j ULOG --ulog-prefix OUTGOING-CONN
iptables -I FORWARD -m state --state NEW -j ULOG --ulog-prefix FORWARDED-CONN

@up
Debian 6.0:

Kod:

-rw-r--r-- 1 root root 2718 01-30 20:28 /etc/rsyslog.conf

/etc/rsyslog.d:
razem 0

Kod:

ii  rsyslog                             4.6.4-2                       enhanced multi-threaded syslogd

Proxmox:

Kod:

-rw-r--r-- 1 root root 2572 2010-11-30  /etc/rsyslog.conf

/etc/rsyslog.d:
razem 4
-rw-r--r-- 1 root root 242 2011-05-04  postfix.conf

Kod:

ii  rsyslog                         4.6.4-2                      enhanced multi-threaded syslogd

Ostatnio edytowany przez desavil (2012-04-15 17:21:14)

Offline

 

#4  2012-04-15 18:38:55

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Proxmox/Debian syslogd, brak

Napisz lepiej, jakie dokładnie informacje potrzebujesz logować.
Co konkretnie do tego proxmoxa jest Ci potrzebne.

Ostatnio edytowany przez Jacekalex (2012-04-15 18:39:19)

W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#5  2012-04-15 19:09:54

  desavil - Użytkownik

desavil
Użytkownik
Zarejestrowany: 2010-11-02

Re: Proxmox/Debian syslogd, brak

Proxmox to wizualizacja, czyli będą na nim stały serwery VPS, więc powinienem logować ich połączenia.
W razie gdyby ktoś z takiego VPS popełnił jakieś przestępstwo (włamanie, ataki, wgrywanie nielegalnych plików, itp.), abym to właśnie nie ja odpowiadał tylko on - to właśnie mają potwierdzić te logi. Dodatkowo logować chciałbym to jeżeli ktoś wykonuje ataki/połączenia na serwer VPS.

Myślę, że nie muszę wykonywać do każdego osobnego systemu logów, tylko jeden i byłby on zarówno dla VPSów jak i serwera matki, bo też się mogą przydać w razie ew. włamania.

Offline

 

#6  2012-04-16 20:08:33

  desavil - Użytkownik

desavil
Użytkownik
Zarejestrowany: 2010-11-02

Re: Proxmox/Debian syslogd, brak

Jakieś propozycje?

Offline

 

#7  2012-04-17 22:09:17

  desavil - Użytkownik

desavil
Użytkownik
Zarejestrowany: 2010-11-02

Re: Proxmox/Debian syslogd, brak

Chodzi mi o to po prostu, czy taki sposób jak podałem wyżej jest poprawny, dla ew. policji w razie czego.
Czy mogę to jakoś zoptymalizować, bo przy moich wyliczeniach będzie plik z logiem dziennym wynosić ok 5GB (bez kompresji) - na serwerze ruch jest dosyć spory, ok. 200Mbps w godzinach szczytu.

Ostatnio edytowany przez desavil (2012-04-17 22:10:15)

Offline

 

#8  2012-04-17 22:53:34

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Proxmox/Debian syslogd, brak

Zainteresuj się konfiguracją sysloga iptables i ewentualnie logowaniem syslog do mysql.

Choć jak chcesz trzymać logi połączeń, czy to w plikach, czy bazach, to przygotuj duuużżżżeee dyski.

Poza tym logój lepiej nawiązywanie połączeń, i dokładnie poczyatj znaczenie poszczególnych funkcji iptables.
Jak źle skonfigurujesz np iptables i ulogd, to zamiast polaczen będzie logowal pakiety przechodzace przez interfejs, na takim dedyku w ilości rzędu miliona na godzinę.

W ogóle do ataków sieciowych zapuściłbym Snorta z obsługą SQL,  i miałbym trochę lepiej odfiltrowany obraz sytuacji + wygodny interfejs web do przeglądania.

Do samego iptables i uloga jest Nulog,ale u mnie ani myślał działać.
A tutaj masz przepis na sysloga w SQL:
http://www.rsyslog.com/doc/rsyslog_mysql.html

Co do wymagań policji, to pytaj na policji. :D

Ostatnio edytowany przez Jacekalex (2012-04-17 22:57:30)

W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#9  2012-04-18 16:56:16

  desavil - Użytkownik

desavil
Użytkownik
Zarejestrowany: 2010-11-02

Re: Proxmox/Debian syslogd, brak

Dyski to nie duży problem, jednak trzeba to gdzieś trzymać. No i tekst ładnie się kompresuje :)

Dlatego właśnie piszę na tym forum o sprawdzeniu/doradzeniu/ew. modyfikacji tych regułek, które wyżej podałem.
Piszesz o logowaniu połączeń tylko nawiązujących, więc myślę, że właśnie --state NEW za to odpowiada?
Iptables + Ulog mnie zadowala, i działa wszędzie bez problemu, więc chciałbym korzystać z niego.

Offline

 

#10  2012-04-19 17:12:59

  desavil - Użytkownik

desavil
Użytkownik
Zarejestrowany: 2010-11-02

Re: Proxmox/Debian syslogd, brak

Mogę liczyć na pomoc?

Offline

 

 

Strony: 1

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Możesz wyłączyć AdBlock — tu nie ma reklam ;-)