Journal [Brève d'Admin] CentOS : parefeu et trieur de logs

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
6
7
avr.
2020

Bonjour Nal,

après des années de 'yaka fautkeje' voici finalement le début d'une petite série de brèves d'admin, un peu obsolète peut être, car souvent pour du CentOS 7, et ici iptables en plus! mais en espérant que cela soit utile à certains lecteurs, et que ça plaise.

Qui n'a jamais été confronté à la déception de voir polluer le fichier /var/log/kernel et/ou /var/log/messages avec ses belles logs du pare-feu ? C'est un peu pénible.

La mise en place se découpe en deux étapes : le déclaratif de logs dans iptables, la configuration du trieur rsyslog. Enfin, une petite étape additionnelle et décorative.

Les logs dans iptables

On n'aborde pas la configuration complète, juste par l'exemple pour cet objectif

Ajout à chaque ligne de /etc/sysconfig/ip{6}tables où cela est nécessaire :

--log-level 7

Par exemple : -A LOGGING -m limit --limit 2/min -j LOG --log-prefix "iptables [DROP] " --log-level 7 si vous avez préalablement nommée/déclaré -N LOGGING

C'est tout.

les déclaratifs dans rsyslog

Là encore c'est rien, créez deux fichiers dans /etc/rsyslog.d ainsi :

  • kernel.conf :

kern.*;kern.!debug -/var/log/kernel

Signifiant que vous demandez toutes les priorités (kern.*) sauf le debug (l'exclusion se fait avec kern.!debug et non !kern.debug.)

  • iptables.conf :
:msg, startswith, "iptables" -/var/log/iptables
& ~

Notez que le - devant le chemin du fichier de sortie, ici aussi, signifie que nous souhaitons avoir une Ă©criture asynchrone, pour ce type de logs c'est plutĂ´t une bonne chose (surtout si vous enregistrez tout et pas seulement les drops)

VoilĂ  c'est fini.

On ajoute le bonus pour dmesg, dans le cas où vous auriez une pollution des logs iptables dans dmesg, rendant cet utilitaire… peu utile pour le coup (c'est pas ce qu'on cherche à lire en général avec cet utilitaire :p)

Créez un alias dans /etc/profile.d/ ainsi :
dmesg.sh :

alias dmesg='dmesg -T -L -f kern,user,mail,daemon,auth,authpriv,user,syslog,cron,ftp,mail -l emerg,alert,crit,err,notice,info'

Adaptez Ă  votre convenance
discussions, critiques et corrections bienvenues

  • # Une correction possible

    Posté par  . Évalué à 1.

    Signifiant que vous demander -> Signifiant que vous demandez

    Pas mal de choses qui sont obscures à mes yeux mais cette dépêche va droit au but et la série de brèves annoncée m'intéresse, ne serait-ce que pour me faire une idée de ce à quoi le boulot d'admin peut ressembler.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.