Remote Logging (was: Re: Frage zu octopussy)

To: debian-user-german@lists.debian.org
Subject: Remote Logging (was: Re: Frage zu octopussy)
From: Peter Funk <pf@artcom-gmbh.de>
Date: Mon, 21 Jan 2013 11:24:53 +0100
Message-id: <[🔎] 20130121102453.GE32580@artcom0.artcom-gmbh.de>
In-reply-to: <[🔎] 50FD066B.6080008@comline.de>
References: <[🔎] 50FCE45B.8000303@comline.de> <[🔎] 201301211008.09286.lists-mm@netcologne.de> <[🔎] 50FD066B.6080008@comline.de>

Ralf Prengel schrieb am Montag, den 21.01.2013 um 10:12:
...
> Hallo,
> 
> ich kenne mich mit syslog noch nicht wirklich aus.
> Ich könnte also in der DMZ dafür sorgen das die Systeme z.B. alle 10
> Minuten eine Mail mit den angefallenen Logfiles an einen internen
> Server mailen?
> Wenn ja:
> Hast du dazu ggf. etwas Doku?

Das im Betreff genannte Paket octopussy setze ich selbst nicht ein.
Ich kenne es auch nur aus dem Artikel in der iX 1/2013 Seite 158ff.

Von einem Verschicken der Logfiles per E-Mail aus der DMZ im 10
Minuten-Takt rate ich ab:  10 Minuten sind viel Zeit für einen
potentiellen Eindringling, um in der DMZ seine Spuren zu verwischen
und Logfiles zu verfälschen.

Wenn die Rechner in der DMZ schon E-Mails "nach intern" verschicken
dürfen, dann sollte es "sicherheitspolitisch" unbedenklich sein,
ebenfalls das Remote-Logging nach "intern" durch die Firewall zu
lassen.

Wie Remote-Logging konfiguriert wird, hängt davon ab, ob auf den
fraglichen Rechnern in der DMZ klassisches syslog (/etc/syslog.conf),
syslog-ng oder rsyslogd (/etc/rsylogd.d/*) eingesetzt wird.

Ein Beispiel aus einer klassischen /etc/syslog.conf:
---
# All logging should happen on one central remote loghost:
*.*     @loghost
---
Statt des Namen "loghost" darf dort auch eine IP-Nummer stehen.  

Falls der Port 514 des loghost in der DMZ doch nicht direkt zugänglich
sein soll, dann kann als Behelf aus dem internen Netz ein SSH-Tunnel
mit Port-Weiterleitung in die DMZ aufgebaut und die Log-Messages
können auch so intern empfangen werden.

Dann würde in einer /etc/syslog.conf z.B. folgendes
*.*     @192.168.1.1:2514 
drin stehen und der normale Port 514 des internen Loghost wird als
Port 2514 auf einen beliebigen Host 192.168.1.1 in der DMZ getunnelt, 
der dann als Stellvertreter für den Empfang des Logging arbeitet.  

Diese Bastelei hat leider einen Nachteil:
Fällt der SSH-Tunnel aus oder fällt dieser eine HOST in der DMZ
aus, dann gehen ab diesem Zeitpunkt alle Log-Messages aus dieser
Zone verloren.  Aber gerade dann, wenn was schief geht, sind diese
Log-Nachrichten interessant, um der Ursache später forensisch auf
die Schliche kommen zu können.

Ich empfehle daher, einfach den Port 514 (UDP) eines zentralen Loghost
aus dem internen Netz in der DMZ zugänglich zu machen.

Viele Grüße, Peter Funk
-- 
Peter Funk, home: ✉Oldenburger Str.86, D-27777 Ganderkesee
mobile:+49-179-640-8878 phone:+49-421-20419-0 <http://www.artcom-gmbh.de/>
office: ArtCom GmbH, ✉Haferwende 2, D-28357 Bremen, Germany

Reply to:

Follow-Ups:
- Re: Remote Logging
  - From: "Ralf Prengel" <ralf.prengel@comline.de>
- Re: Remote Logging
  - From: "Ralf Prengel" <ralf.prengel@comline.de>

References:
- Frage zu octopussy
  - From: "Ralf Prengel" <ralf.prengel@comline.de>
- Re: Frage zu octopussy
  - From: Marco Maske <lists-mm@netcologne.de>
- Re: Frage zu octopussy
  - From: "Ralf Prengel" <ralf.prengel@comline.de>

Prev by Date: Re: sensors sagt 96°C, gefühlt ist das gerät viel kühler
Next by Date: Re: KVM / Windows7
Previous by thread: Re: Frage zu octopussy
Next by thread: Re: Remote Logging
Index(es):
- Date
- Thread