Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2012-04-15 12:28:16

  desavil - Użytkownik

desavil
Użytkownik
Zarejestrowany: 2010-11-02

Proxmox/Debian syslogd, brak

Witajcie.
Postanowiłem sobie na moich serwerach z systemem Debian zrobić logowanie ruchu (w razie czego). W przypadku systemu Proxmox jest to wręcz obowiązkowe, abym logował ruch serwerów VPS (dopiero będę je tworzył).

Postanowiłem więc skorzystać z najprostszego sposobu jakim jest iptables. Niestety nigdzie nie umiem znaleźć tych zapisanych logów hehe, więc poczytałem w internecie, że muszę mieć syslogd (który niby domyślnie jest w systemie). Niestety zarówno na Proxmox, jak i na Debian 5/6 z OVH nie odnalazłem pliku konfiguracyjnego /etc/syslog.conf

O ile w przypadku systemu Debian komenda: apt-get install syslogd działa, chociaż mam pewne obawy co do jego instalacji, gdyż pisze:

Kod:

Zostaną zainstalowane następujące dodatkowe pakiety:
  klogd sysklogd
Następujące pakiety zostaną USUNIĘTE:
  [b]rsyslog[/b]
Zostaną zainstalowane następujące NOWE pakiety:
  klogd sysklogd

Czy to nie namiesza w jakiś sposób w systemie?

W przypadku systemu Proxmox to kompletnie nie wiem co zrobić, gdyż podczas instalacji pisze:

Kod:

Pakiet syslogd jest pakietem wirtualnym zapewnianym przez:
  sysklogd 1.5-6
  busybox-syslogd 1:1.17.1-8
Należy jednoznacznie wybrać jeden z nich do instalacji.

E: Package 'syslogd' has no installation candidate

A jak zainstalowałem na tym systemie pakiet: syslog-ng, to już całkiem po systemie, gdyż usunął wszystkie pakiety odpowiadające za wizualizacje itp.

Pozdrawiam.

Offline

 

#2  2012-04-15 13:35:04

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Proxmox/Debian syslogd, brak

Pokaż wynik z Debiana:

Kod:

ls -l  /etc/*syslo*

oraz:

Kod:

dpkg -l | grep syslog

Poza tym iptables logi zapisuje w /var/log/messages lub /var/log/syslog za pomocą demona logowania, który jest w każej instalce Debiana.

Możeesz też logować do przestrzeni użytkownika za pomocą celu UlLOG z iptables i programu ulogd.

To by było na tyle
;-)

Ostatnio edytowany przez Jacekalex (2012-04-15 13:41:52)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#3  2012-04-15 14:10:39

  desavil - Użytkownik

desavil
Użytkownik
Zarejestrowany: 2010-11-02

Re: Proxmox/Debian syslogd, brak

@edit
ULOG + Iptables działa, zapisują się logi :)
Teraz takie pytanie, jakie byłoby optymalne logowanie tego ruchu, co powinienem zapisywać.
Czytałem że najlepiej logować tylko połączenie i zakończenie połączenia, jak to najlepiej zrobić? A co do serwerów VPS, czy również wystarczy na wypadek czegoś tylko to logować?

W internecie znalazłem takie coś, ale od razu po wprowadzeniu tego plik dosyć szybko nabiera rozmiarów:

Kod:

iptables -I INPUT -m state --state NEW -j ULOG --ulog-prefix INCOMING-CONN
iptables -I OUTPUT -m state --state NEW -j ULOG --ulog-prefix OUTGOING-CONN
iptables -I FORWARD -m state --state NEW -j ULOG --ulog-prefix FORWARDED-CONN

@up
Debian 6.0:

Kod:

-rw-r--r-- 1 root root 2718 01-30 20:28 /etc/rsyslog.conf

/etc/rsyslog.d:
razem 0

Kod:

ii  rsyslog                             4.6.4-2                       enhanced multi-threaded syslogd

Proxmox:

Kod:

-rw-r--r-- 1 root root 2572 2010-11-30  /etc/rsyslog.conf

/etc/rsyslog.d:
razem 4
-rw-r--r-- 1 root root 242 2011-05-04  postfix.conf

Kod:

ii  rsyslog                         4.6.4-2                      enhanced multi-threaded syslogd

Ostatnio edytowany przez desavil (2012-04-15 17:21:14)

Offline

 

#4  2012-04-15 18:38:55

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Proxmox/Debian syslogd, brak

Napisz lepiej, jakie dokładnie informacje potrzebujesz logować.
Co konkretnie do tego proxmoxa jest Ci potrzebne.

Ostatnio edytowany przez Jacekalex (2012-04-15 18:39:19)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#5  2012-04-15 19:09:54

  desavil - Użytkownik

desavil
Użytkownik
Zarejestrowany: 2010-11-02

Re: Proxmox/Debian syslogd, brak

Proxmox to wizualizacja, czyli będą na nim stały serwery VPS, więc powinienem logować ich połączenia.
W razie gdyby ktoś z takiego VPS popełnił jakieś przestępstwo (włamanie, ataki, wgrywanie nielegalnych plików, itp.), abym to właśnie nie ja odpowiadał tylko on - to właśnie mają potwierdzić te logi. Dodatkowo logować chciałbym to jeżeli ktoś wykonuje ataki/połączenia na serwer VPS.

Myślę, że nie muszę wykonywać do każdego osobnego systemu logów, tylko jeden i byłby on zarówno dla VPSów jak i serwera matki, bo też się mogą przydać w razie ew. włamania.

Offline

 

#6  2012-04-16 20:08:33

  desavil - Użytkownik

desavil
Użytkownik
Zarejestrowany: 2010-11-02

Re: Proxmox/Debian syslogd, brak

Jakieś propozycje?

Offline

 

#7  2012-04-17 22:09:17

  desavil - Użytkownik

desavil
Użytkownik
Zarejestrowany: 2010-11-02

Re: Proxmox/Debian syslogd, brak

Chodzi mi o to po prostu, czy taki sposób jak podałem wyżej jest poprawny, dla ew. policji w razie czego.
Czy mogę to jakoś zoptymalizować, bo przy moich wyliczeniach będzie plik z logiem dziennym wynosić ok 5GB (bez kompresji) - na serwerze ruch jest dosyć spory, ok. 200Mbps w godzinach szczytu.

Ostatnio edytowany przez desavil (2012-04-17 22:10:15)

Offline

 

#8  2012-04-17 22:53:34

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Proxmox/Debian syslogd, brak

Zainteresuj się konfiguracją sysloga iptables i ewentualnie logowaniem syslog do mysql.

Choć jak chcesz trzymać logi połączeń, czy to w plikach, czy bazach, to przygotuj duuużżżżeee dyski.

Poza tym logój lepiej nawiązywanie połączeń, i dokładnie poczyatj znaczenie poszczególnych funkcji iptables.
Jak źle skonfigurujesz np iptables i ulogd, to zamiast polaczen będzie logowal pakiety przechodzace przez interfejs, na takim dedyku w ilości rzędu miliona na godzinę.

W ogóle do ataków sieciowych zapuściłbym Snorta z obsługą SQL,  i miałbym trochę lepiej odfiltrowany obraz sytuacji + wygodny interfejs web do przeglądania.

Do samego iptables i uloga jest Nulog,ale u mnie ani myślał działać.
A tutaj masz przepis na sysloga w SQL:
http://www.rsyslog.com/doc/rsyslog_mysql.html

Co do wymagań policji, to pytaj na policji. :D

Ostatnio edytowany przez Jacekalex (2012-04-17 22:57:30)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#9  2012-04-18 16:56:16

  desavil - Użytkownik

desavil
Użytkownik
Zarejestrowany: 2010-11-02

Re: Proxmox/Debian syslogd, brak

Dyski to nie duży problem, jednak trzeba to gdzieś trzymać. No i tekst ładnie się kompresuje :)

Dlatego właśnie piszę na tym forum o sprawdzeniu/doradzeniu/ew. modyfikacji tych regułek, które wyżej podałem.
Piszesz o logowaniu połączeń tylko nawiązujących, więc myślę, że właśnie --state NEW za to odpowiada?
Iptables + Ulog mnie zadowala, i działa wszędzie bez problemu, więc chciałbym korzystać z niego.

Offline

 

#10  2012-04-19 17:12:59

  desavil - Użytkownik

desavil
Użytkownik
Zarejestrowany: 2010-11-02

Re: Proxmox/Debian syslogd, brak

Mogę liczyć na pomoc?

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)

[ Generated in 0.013 seconds, 11 queries executed ]

Informacje debugowania

Time (s) Query
0.00014 SET CHARSET latin2
0.00006 SET NAMES latin2
0.00118 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.16.75.156' WHERE u.id=1
0.00104 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.16.75.156', 1732450474)
0.00065 SELECT * FROM punbb_online WHERE logged<1732450174
0.00120 DELETE FROM punbb_online WHERE ident='18.118.30.137'
0.00102 DELETE FROM punbb_online WHERE ident='85.208.96.198'
0.00087 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=21095 AND t.moved_to IS NULL
0.00009 SELECT search_for, replace_with FROM punbb_censoring
0.00288 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=21095 ORDER BY p.id LIMIT 0,25
0.00123 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=21095
Total query time: 0.01036 s