Log remoti

Da sia.
Vai alla navigazione Vai alla ricerca

Indirizzare i log su un logserver su canale cifrato

Panoramica

L'esigenza è di poter indirizzare i log di connessione delle workstation linux ad uso degli studenti su una macchina fuori dal loro controllo, eventualmente per l'analisi dei log.

Queste righe sono per client e server debian.

Strumenti

apt-get install syslog-ng stunnel4

syslog-ng è necessario perché risolve il problema di syslog di usare una porta fissa predefinita per il log remoto.

syslog-ng client

Modificare /etc/syslog-ng/syslog-ng.conf: aggiungere 

destination df_loglab { tcp("127.0.0.1" port(61514)); };

Modificare la sezione auth (e tutte quelle che si vogliono ridirigere): 

# auth,authpriv.*                 /var/log/auth.log
log {
       source(s_all);
       filter(f_auth);
       destination(df_auth);
       destination(df_loglab);
};

Con questa impostazione i log si trovano sia in locale che sul server remoto.

syslog-ng server

Aggiungere alla sezione source s_all la riga: 

tcp(ip("127.0.0.1") port(61514));

Modificare la voce: chain_hostnames in 

 chain_hostnames(1);

Altrimenti tutte le connessioni remote risultano provenire da 127.0.0.1 (il tunnel)

stunnel client

Rimuovere il file /etc/stunnel/stunnel.conf; creare il file /etc/stunnel/syslog-client.conf: 

; Some debugging stuff
; useful for troubleshooting
;debug = 7
;foreground=yes

client=yes

[ssyslog]
accept  = 127.0.0.1:61514
connect = 155.185.253.4:60514

Accertarsi che in /etc/default/stunnel4 

ENABLED=1

stunnel server

Rimuovere il file /etc/stunnel/stunnel.conf; creare il file /etc/stunnel/syslog-server.conf: 

; Certificate/key is needed in server mode
;cert = /etc/stunnel/stunnel.pem
cert = /etc/apache2/ssl.crt/wiki.crt
key = /etc/apache2/ssl.key/wiki.key.unsecure

; Some debugging stuff useful
; for troubleshooting
;debug = 7
;foreground=yes

[ssyslog]
accept  = 60514
connect = 61514

I certificati digitali devono esistere ed essere leggibili dall'utente di stunnel (stunnel4). La chiave deve avere permesso 600, altrimenti il servizio non si avvia con l'errore: Wrong permissions on ...

Accertarsi che in /etc/default/stunnel4 

ENABLED=1

Fonti

Estratto da "https://wiki.unimore.it/index.php?title=Log_remoti&oldid=6791"