[PLUTO-security] Log con iptables e RH8

Fabio Panigatti ml-panigatti a minerprint.it
Ven 16 Gen 2004 16:06:09 CET 

> indeciso perchè i pareri sono un pò discordanti tra ulog e syslog-ng

Esiste anche metalog, come alternativa. Non puo' inviare log ad un log
server remoto, ma e' piu' facile da configurare e puo' usare un buffer
in scrittura che, a volte, puo' essere utile, specie se il firewall, o
l'host, ha dei dischi un po' vecchiotti. Posizione e gestione dei log,
pero', non sono i soliti, ma ci si puo' mettere una pezza con 'ln -s'.

> l'esigenza che ho io è quella che mi piacerebbe finalmente poter indirizzare
> tutti i log generati dal mio firewall (basato su iptables) in un semplice
> file di testo ...

Se il file e' /var/log/secure (anche se non vedo perche' dovrebbe) non
puoi usare ulogd e metalog, ma syslog-ng. In realta' si dovrebbe poter
fare anche con metalog creando un symlink al file di log effettivo, a
causa della diversa gestione e posizione dei file.

> senza essere costretto ad andare a cercare tutte le informazioni
> relative al firewall all'interno di un altro centinaio di informazioni
> che nel caso specifico non mi interessano !

Questo non e' sempre male: vedere il log del firewall insieme, magari, a
quelli di [x]inetd, di un ids ecc ecc puo' aiutare ad avere una maggiore
comprensione di quel che accade, specie quando s'automatizza la cosa con
prodotti tipo logsurfer o sec. Bisognerebbe valutare caso per caso.

> .. comunque vorrei provare entrambi, per ora syslog-ng l'ho installato
> e non ho avuto grossi problemi anche se ancora non sono passato alla
> configurazione !,

syslog-ng funziona egregiamente, ma spesso ho avuto qualche problema nel
gestire correttamente il logging del kernel, usando klogd. Con syslog-ng
anche per il kernel e' sempre andato tutto bene ma non vengono risolti i
simboli del kernel (a me non interessa, ma...).

Ti riporto per intero il contenuto di un post che avevo fatto altrove:

<<Io, personalmente, non sono ancora riuscito a far parlare klogd con il
  processo di syslog-ng. Si puo' risolvere la questione eseguendo il log
  di klogd su un file e aggiungendo un file("/var/log/klogd.log"); nella
  direttiva "source" di syslog-ng.conf, oppure evitando di usare klogd e
  aggiungendo pipe("/proc/kmsg");. La prima soluzione dovrebbe essere la
  migliore, in quanto klogd fornisce righe di log piu' significative per
  alcuni eventi del kernel, mentre syslog-ng svuota solo kmsg e copia le
  righe nei log pari pari. >>

magari ti puo' essere di aiuto. Se trovi qualche soluzione migliore...
scrivi :-) Ce ne sono sicuramente.

> ora ho scaricato ulog e provo a lavorarci un pò ...

ulog fa anche altre cose interessanti tipo loggare in formato tcpdump.
IMHO e' un complemento, piu' che una alternativa, a meno che non serva
loggare su un database. Se devi solo usare un file di destinazione che
sia specifico per netfilter, allora e' meglio usare un diverso syslog.
Il funzionamento di ulogd in emulazione syslog, infatti, non logga con
sufficiente dettaglio IMHO (non supporta il log delle opzioni ip e tcp
e dei numeri di sequenza).

Fabio

Maggiori informazioni sulla lista pluto-security