Re: désactiver la « compression » de syslog
On Wed, Jan 16, 2008 at 04:00:01PM +0100,
mpg <manuel.pg@free.fr> wrote
a message of 25 lines which said:
> Jan 16 15:42:00 siegel last message repeated 2 times
[...]
> Y a-t-il moyen de désactiver cette
> fonctionnalité ?
Pour des raisons de sécurité, je le déconseillerai
fortement. N'importe quel processus (voire n'importe quelle machine si
vous avez activé l'accès à distance) peut envoyer des messages à
syslog sans authentification. Sans cette fonction de « compression »,
vous seriez vulnérable à une attaque DoS triviale (remplir votre
disque dur avec des messages bidon).
Cf. RFC 3164, section 6.10 "Load Considerations"
Network administrators must take the time to estimate the appropriate
size of the syslog receivers. An attacker may perform a Denial of
Service attack by filling the disk of the collector with false
messages. Placing the records in a circular file may alleviate this
but that has the consequence of not ensuring that an administrator
will be able to review the records in the future. Along this line, a
receiver or collector must have a network interface capable of
receiving all messages sent to it.
Reply to: