Mailinglist Archive: opensuse-de (4938 mails)

< Previous Next >
Re: scriptfrage....
  • From: steffen@xxxxxxx (Steffen Dettmer)
  • Date: Tue May 09 23:52:47 2000
  • Message-id: <20000510015247.B9894@xxxxxxxxx>



* Wolfgang Weisselberg wrote on Tue, May 09, 2000 at 23:55 +0200:
Steffen Dettmer schrieb in 1,6K (54 Zeilen):

[remote syslog]
das geht ueber ttyS1 an einen Logrechner (der kein Netz hat),
wenn wir Sicherheit wollen.

Ja, das geht auch.

Natuerlich. Ich moechte vielleicht mail.debug und *.info schnell
expiren, aber *.warning lange halten und archivieren. Ich
moechte vielleicht dem postmaster mail.* zum Ansehen geben,
und usenet news.*, aber nicht andere Messages (da koennen
z.T. ja Passworte drinstehen!, siehe pppd).

Na, ehrlich gesagt, ist mir das immer zu fummelig. Ich hab da
einfach ne Liste mit "normalen" Meldungen so als regex, das wird
entfernt, und der Rest z.B. per Mail verschickt (sonst vergißt
man das Logfilelesen ja sowieso :)).

Aber als Admin moechte ich einen Blick in /etc/syslog.conf
werfen und sagen: Ok, *da* sind *diese* logs, auch wenn ich
die Maschine nicht so kenne.

:) Tja: *.* /var/log/allinone :)

Dann musst du aber z.B. priorities auch uebergeben. Das geht
aber nicht so.

Ja, syslogd ist nicht so der Hammer :)

Wie soll ich jetzt z.B. lpr.info in ein File
geben, was schnell rotiert wird, die lpr.=notice in ein
zweites und lpr.warning in ein drittes stecken?

Gar nicht :) Wenn Du Priorities brauchst, ist's schwierig,
richtig. [Hab ich ein Glück :) ]

Das geht nur, wenn ich fuer jede Priority einen FIFO oeffne.

Du hast für jede Priority eine Datei?!
Ich habe maximal wichtig und ganz wichtig :)

Das ist unelegant, um es milde zu sagen. Wie heisst denn das
Config-file deines FIFOs -- oder sind es mehrere?

Nee, das alte Script verwendet keine FIFOs, wartet sich besser,
wenn es auch mal "sterben" kann :)
Die Datei heißt dann übrigens /etc/logmail.conf.

Und was macht der FIFO mit dem Maillogs, wenn da ploetzlich
statt sendmail qmail oder exim steht?

Ganz viel Mail verschicken. Dann kann ich zum Booten hingehen,
weil wenn ein Attacker so frech ist, sich sendmail zu
installieren, und damit vermutlich auch noch mein qmail kaputt
macht, oder exim, was ich nicht mal kenne, dann muß ich eben
neuinstallieren :) Jedenfalls hab ich den Kram dann wenigstens
per Mail. Vielleicht findet sich da ein exploit-Hinweis...

Oder fuer jede Kombination einen FIFO haben (hinter denen
hoffendlich nur ein Programm sitzt)? Sind ja nur 160 Stueck ...

Na, schaust! Die kann dann ein Script anlegen, ein syslog.conf
erstellen ... :)

Jedenfalls geht das alles. Außerdem
ist das Problem völlig unabhänig davon, ob ip-up auch (wie viele
andere Programme) sys-loggt,

Da gehen wenigstens die Priorities.

Wieso? Warum gehen die Priorities nicht, wenn ip-up logger
verwendet?! Ich denke wir reden aneinander vorbei. Macht aber nix
:)

Und jetzt sieh das Problem mal mit .. uh, 1000 Maschinen und
Fernwartung.

Ja, viel Spaß beim Logfile lesen :)
Nee, ich kann mir nicht vorstellen, daß es ansatzweise Sinn
macht, sowas regelmäßig lesen zu wollen... Na, ich lasse einfach
die Files rumliegen, auf wichtigen Maschinen z.B. 1 Jahr oder so.
Sind meist auch bloß ein paar MB. Na, und 90% davon ist
Standard-Kram, kann man filtern, spart ungemein Platz.
Ich hab's sowieso viel lieber in einer Datei, weil man dann
Zusammenhänge gut erkennt, z.B. illegaler Telnet, FTP und Mail
Zugriff fällt mehr auf, als nur ein Mail-Zugriff :)

Aber natürlich hast Du Recht, auf Mailservern macht sich ein
extra mail-Logfile nicht schlecht.

oki,

Steffen


--
Dieses Schreiben wurde maschinell erstellt,
es trägt daher weder Unterschrift noch Siegel.

---------------------------------------------------------------------
To unsubscribe, e-mail: suse-linux-unsubscribe@xxxxxxxx
For additional commands, e-mail: suse-linux-help@xxxxxxxx


< Previous Next >