Sziasztok! a dilemma a következő: tűzfal mögötti eszközök szeretnének loggolni egy loggyűjtő gépre. Lehetőségek: - syslog-ng van a tűzfalon és abban állítok be egy szabályt Előny: úgymond alkalmazás proxy, és a syslog-ng jól konfigolhatósága Hátrány: ha valamelyik gép DoS-eli a syslog démont a lokális loggolás is elpusztulhat. - zorp udp-plug Előny: nem kockáztatom a tűzfal logrendszerét Hátrány : nincs adatelemzés. Kérdés: 1. lehet-e syslog-ng-ből másik instance-t futtatni másik konfiggal? és nobody userként? 2. vagy tervezitek-e natív syslog proxy megírását a zorpba? köszönet
On Thu, 2003-09-11 at 14:03, narancs wrote:
Sziasztok!
a dilemma a következő:
tűzfal mögötti eszközök szeretnének loggolni egy loggyűjtő gépre.
Lehetőségek:
- syslog-ng van a tűzfalon és abban állítok be egy szabályt Előny: úgymond alkalmazás proxy, és a syslog-ng jól konfigolhatósága
elony: kaphat csomagot UDP-n es kuldheti tcp-n, stunnelen vagy ssh portforwardon
Hátrány: ha valamelyik gép DoS-eli a syslog démont a lokális loggolás is elpusztulhat.
nem biztos, csinalhatsz chroot-ot is a tavoli loggolast nativ proxyzo syslog-ng-nek!
- zorp udp-plug Előny: nem kockáztatom a tűzfal logrendszerét Hátrány : nincs adatelemzés.
az udp plug sajnos performancia okokat okozhat, ha nem megfeleloen meretezed a vasat. A baj az, hogy ha mar nem birja a gep, akkor csomagokat fog eldobni ami nagyon nem szerencses.
Kérdés:
1. lehet-e syslog-ng-ből másik instance-t futtatni másik konfiggal? és nobody userként?
Bazsi?
2. vagy tervezitek-e natív syslog proxy megírását a zorpba?
hat syslog proxy nem valoszuni, hogy lesz, mert nincs nagyon mit elemezni rajta sajnos... HOLTZL Peter
On Thu, Sep 11, 2003 at 02:18:06PM +0200, HÖLTZL Péter wrote:
On Thu, 2003-09-11 at 14:03, narancs wrote:
1. lehet-e syslog-ng-ből másik instance-t futtatni másik konfiggal? és nobody userként?
igen, igen -- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1
On Thu, Sep 11, 2003 at 03:36:09PM +0200, narancs wrote:
van erről valami doksi?
syslog-ng --help ? syslog-ng -u nobody -g nogroup -C /var/chroot/syslog-relay a konfig file-t eloszor a kulso rendszerrol veszi. ha reload-ot akarsz, akkor rakd a chroot-on belulre is. a konfig file pedig valami egyszeru, pl: source s_net { udp(); }; destination d_net { udp('belsogep'); }; log { source(s_net); destination(d_net); }; esetleg restrict-tel meg a capjei kozul is vehetsz el... -- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1
HÖLTZL Péter írta:
On Thu, 2003-09-11 at 14:03, narancs wrote:
Sziasztok!
a dilemma a következő:
tűzfal mögötti eszközök szeretnének loggolni egy loggyűjtő gépre.
Lehetőségek:
- syslog-ng van a tűzfalon és abban állítok be egy szabályt Előny: úgymond alkalmazás proxy, és a syslog-ng jól konfigolhatósága
elony: kaphat csomagot UDP-n es kuldheti tcp-n, stunnelen vagy ssh portforwardon
persze, ezt is beleértve :)
Hátrány: ha valamelyik gép DoS-eli a syslog démont a lokális loggolás is elpusztulhat.
nem biztos, csinalhatsz chroot-ot is a tavoli loggolast nativ proxyzo syslog-ng-nek!
- zorp udp-plug Előny: nem kockáztatom a tűzfal logrendszerét Hátrány : nincs adatelemzés.
az udp plug sajnos performancia okokat okozhat, ha nem megfeleloen meretezed a vasat. A baj az, hogy ha mar nem birja a gep, akkor csomagokat fog eldobni ami nagyon nem szerencses.
aha szóval ez sem megoldás...
Kérdés:
1. lehet-e syslog-ng-ből másik instance-t futtatni másik konfiggal? és nobody userként?
Bazsi?
2. vagy tervezitek-e natív syslog proxy megírását a zorpba?
hat syslog proxy nem valoszuni, hogy lesz, mert nincs nagyon mit elemezni rajta sajnos...
esetleg annyi formális vizsgálatot mint amit a syslog-ng csinál...? ez már 1x meg lett írva, gondolom azt a kódot lehetne használni. marad akkor az a kérdés, hogy hogyan lehet syslog-ngt más userben futtatni esetleg chroot alatt, stb. kinek mi az ötlete? köszönet
participants (3)
-
Balazs Scheidler
-
HÖLTZL Péter
-
narancs