Re: ocsinventory + ModSecurity + logcheck
Bonjour,
Le jeudi 19 août 2010 à 09:04:17 (+0200), Jean-Paul Lacharme a écrit :
> Date: Thu, 19 Aug 2010 09:04:17 +0200
> From: Jean-Paul Lacharme <jean-paul.lacharme@univmed.fr>
> To: debian-user-french@lists.debian.org
> Subject: ocsinventory + ModSecurity + logcheck
> Le problème est qu'ocsinventory m'envoie sans doute quelques trames
> imparfaites qui me donnent à chaque fois un log du type :
[...]
> J'aimerais supprimer ce genre de remontés qui constituent 90% des
> remontées de logcheck.
> 3 pistes :
>
> agir au niveau d'ocsinventory-agent sur chaque poste client pour que les
> trames soient bien configurées/acceptées. Me semble difficile à mettre
> en oeuvre.
Ce serait la meilleure solution à mon avis. S'il s'agit réellement d'un problème,
il faut au moins rapporter le bug.
> Agir au niveau des règles de ModSecurity :
> modsecurity_crs_15_user_rules.conf ?
> ou celui de modsecurity/modsecurity_crs_21_protocol_anomalies.conf en
> virant la règle qui agit ici ? mais je ne veux pas trop toucher mes
> règles de base.
Non, car en cas de problème similaire en dehors d'oscinventory,
tu n'auras plus la remontée d'information.
> Agir au niveau de logcheck
C'est la solution la plus aisée, que je qualifierais de "temporaire", en attendant
la correction d'oscinventory-agent.
> /etc/logcheck/ignore.d.server/<local-rules> ou
> /etc/logcheck/violations.ignore.d
> ??
Tout dépend de ce qui te fait remonter ces informations. Par expérience, c'est très
généralement dans ignore.d.server/
Personnellement, je créé un fichier unique fichier local dans lequel je mets toutes
mes exceptions.
S'il ne s'agit pas d'un réel problème dans oscinventory-agent, tu peux également
soumettre un patch pour logcheck-database en proposant ta regex.
@+
Julien
--
Julien Valroff <julien@kirya.net>
http://www.kirya.net
GPG key: 4096R/290D20C5
092F 4CB5 5F19 E006 1CFD B489 D32B 8D66 290D 20C5
Reply to: