[PLUTO-security] Log con iptables e RH8

Salvatore Basso sasab a pixteam.com
Ven 16 Gen 2004 17:11:17 CET 

Ciao Fabio e grazie per le indicazioni davvero utili ... io vorrei
approfondire in particolare un punto:

> Se il file e' /var/log/secure (anche se non vedo perche' dovrebbe) non
> puoi usare ulogd e metalog, ma syslog-ng. In realta' si dovrebbe poter
> fare anche con metalog creando un symlink al file di log effettivo, a
> causa della diversa gestione e posizione dei file.

.. io vorrei soltanto poter indirizzare tutti i log generati dallo script
iptables verso un file (qualunque sia il suo nome, non sto ad annoiarvi con
i motivi per i quali ho questa esigenza ! ), per quello che so io questo è
possibile farlo con ULOG però se ho capito bene tu mi dici che invece non è
cosi ?! forse ho capito male ?...ma posso usare ULOG solo per loggare
iptables o poi sono costretto ad usarlo anche per tutti gli altri log
generati ?
Ancora grazie.

                 - Salvatore


----- Original Message ----- 
From: "Fabio Panigatti" <ml-panigatti a minerprint.it>
To: "Sicurezza in rete" <pluto-security a lists.pluto.it>
Sent: Friday, January 16, 2004 4:06 PM
Subject: Re: [PLUTO-security] Log con iptables e RH8


> > indeciso perchè i pareri sono un pò discordanti tra ulog e syslog-ng
>
> Esiste anche metalog, come alternativa. Non puo' inviare log ad un log
> server remoto, ma e' piu' facile da configurare e puo' usare un buffer
> in scrittura che, a volte, puo' essere utile, specie se il firewall, o
> l'host, ha dei dischi un po' vecchiotti. Posizione e gestione dei log,
> pero', non sono i soliti, ma ci si puo' mettere una pezza con 'ln -s'.
>
> > l'esigenza che ho io è quella che mi piacerebbe finalmente poter
indirizzare
> > tutti i log generati dal mio firewall (basato su iptables) in un
semplice
> > file di testo ...
>
> Se il file e' /var/log/secure (anche se non vedo perche' dovrebbe) non
> puoi usare ulogd e metalog, ma syslog-ng. In realta' si dovrebbe poter
> fare anche con metalog creando un symlink al file di log effettivo, a
> causa della diversa gestione e posizione dei file.
>
> > senza essere costretto ad andare a cercare tutte le informazioni
> > relative al firewall all'interno di un altro centinaio di informazioni
> > che nel caso specifico non mi interessano !
>
> Questo non e' sempre male: vedere il log del firewall insieme, magari, a
> quelli di [x]inetd, di un ids ecc ecc puo' aiutare ad avere una maggiore
> comprensione di quel che accade, specie quando s'automatizza la cosa con
> prodotti tipo logsurfer o sec. Bisognerebbe valutare caso per caso.
>
> > .. comunque vorrei provare entrambi, per ora syslog-ng l'ho installato
> > e non ho avuto grossi problemi anche se ancora non sono passato alla
> > configurazione !,
>
> syslog-ng funziona egregiamente, ma spesso ho avuto qualche problema nel
> gestire correttamente il logging del kernel, usando klogd. Con syslog-ng
> anche per il kernel e' sempre andato tutto bene ma non vengono risolti i
> simboli del kernel (a me non interessa, ma...).
>
> Ti riporto per intero il contenuto di un post che avevo fatto altrove:
>
> <<Io, personalmente, non sono ancora riuscito a far parlare klogd con il
>   processo di syslog-ng. Si puo' risolvere la questione eseguendo il log
>   di klogd su un file e aggiungendo un file("/var/log/klogd.log"); nella
>   direttiva "source" di syslog-ng.conf, oppure evitando di usare klogd e
>   aggiungendo pipe("/proc/kmsg");. La prima soluzione dovrebbe essere la
>   migliore, in quanto klogd fornisce righe di log piu' significative per
>   alcuni eventi del kernel, mentre syslog-ng svuota solo kmsg e copia le
>   righe nei log pari pari. >>
>
> magari ti puo' essere di aiuto. Se trovi qualche soluzione migliore...
> scrivi :-) Ce ne sono sicuramente.
>
> > ora ho scaricato ulog e provo a lavorarci un pò ...
>
> ulog fa anche altre cose interessanti tipo loggare in formato tcpdump.
> IMHO e' un complemento, piu' che una alternativa, a meno che non serva
> loggare su un database. Se devi solo usare un file di destinazione che
> sia specifico per netfilter, allora e' meglio usare un diverso syslog.
> Il funzionamento di ulogd in emulazione syslog, infatti, non logga con
> sufficiente dettaglio IMHO (non supporta il log delle opzioni ip e tcp
> e dei numeri di sequenza).
>
> Fabio
>
> _______________________________________________
> pluto-security mailing list
> pluto-security a lists.pluto.it
> http://lists.pluto.it/cgi-bin/mailman/listinfo/pluto-security
> ---
> [This E-mail scanned for viruses by Declude Virus]
>
>

---
[This E-mail scanned for viruses by Declude Virus]

Maggiori informazioni sulla lista pluto-security