Servisi

Fail2ban - konfiguracija i uporaba, 3. dio

U prethodna dva nastavka smo vam pokazali način rada, te osnovnu konfiguraciju i uporabu programa fail2ban. U ovom nastavku zaokružit ćemo priču, i objasniti kako napraviti svoj, odnosno prilagoditi neki postojeći filter svojim potrebama.

Kuharice: 
Kategorije: 

Logrotate - zaboravljeni junak

Da su logovi, obično smješteni u direktoriju /var/log, izuzetno važni jasno je svakom sistem-inženjeru. Nema drugog načina rješavanja problema (osim ako ste problem susreli prije pa rješenje znate napamet) do povećanja razine logiranja i promatranja što smeta određenom servisu da funkcionira na željeni ili očekivani način.

Kuharice: 

BIND: kako podesiti razinu logiranja?

U prethodnim člancima smo se dotaknuli teme o načinima logginga u BIND-u, odnosno kako napraviti da se određene kategorije log zapisa uopće ne pojavljuju u logovima. Naravno da tu nije kraj, te da BIND može puno više. Vratimo se malo u povijest... BIND inačice 4 je imao samo rudimentarne mogućnosti logiranja, odnosno samo uobičajeni način povećanja ili smanjivanja razine zapisa (verbosity), kao što to ima većina drugih servisa.

Kuharice: 
Kategorije: 

BIND: ignoriranje pojedinih logova u Lennyju

Kako smo već pisali, inačica BIND DNS poslužitelja donosi neke novosti. Neke od njih mogu izazvati velik broj lažnih upozorenja od raznih sustava za nadzor logova (logcheck, OSSEC). Kako je ovo samo odraz činjenice da su uvedena neka ograničenja, ova se upozorenja mogu ignorirati. Na prvom mjestu, radi se o upozorenju o tome da je "EDNS ugašen", te da je nekom klijentu izvan vaše mreže uskraćen rekurzivni upit.

Kuharice: 
Kategorije: 

BIND: promjene u Lennyju

Nakon svake nadogradnje poslužitelja neminovno je da poneki od servisa treba ponovno podesiti, odnosno iskonfigurirati. Razlog ovome je nepostojanje automatizirane procedure koja će postavke, primjerice, freeradiusa 1.x prebaciti u postavke za freeradius 2.x. O nekoliko čimbenika ovisi što je bolje, ostaviti staru konfiguraciju ili uzeti novu pa prebaciti relevantne dijelove iz stare.

Kuharice: 
Kategorije: 

Logcheck, 3. dio

Kreiranje i testiranje pravila

Testiranje vaših pravila možete napraviti preko naredbe:

sed -e 's/[[:space:]]*$//' /var/log/syslog | egrep -i 'Access Denied'

(ovdje naredba sed samo filtrira prazna retke, koji su opasni jer će uključiti baš svako pravilo i odgovarajući alarm).

Kuharice: 
Kategorije: 

Logcheck, 2. dio

Kako logcheck zapravo radi?

Pomoću pomoćnog programa "logtail", iz sistemskih logova auth.log i syslog izdvajaju se linije koje do tog trenutka nisu bile nijednom pregledane (logtail vodi o tome računa). Daljnje izvršavanje preuzima egrep, proširena inačica naredbe grep (budimo iskreni i recimo da je to samo skripta koja pokreće grep sa posebnom opcijom -E).

Kuharice: 
Kategorije: 

Logcheck, 1. dio

Iako postoje noviji, a vjerojatno i bolji log watcheri, logcheck je svakako jedan od najčešće korištenih kod CARNet sistem administratora. Uzrok je ovom vjerojatno činjenica da je dolazio u obliku CARNet paketa. I danas, kad imamo napredniji OSSEC sustav, koji može i puno više, je gotovo redovito instaliran na poslužiteljima CARNet članica. U tri nastavka pokušat ćemo objasniti sve "male tajne" logchecka.

Logcheck - početak i kraj

Kuharice: 
Kategorije: 

Apache2: autentikacija korisnika rabeći samo LDAP

U člancima http://sistemac.carnet.hr/node/42 (Autentikacija osnovnih servisa putem LDAP-a i RADIUS-a) i http://sistemac.carnet.hr/node/41 (Autorizacija Apache web poslužitelja putem LDAP-a i RADIUS-a) smo objasnili kako autenticirati mrežne servise, s naglaskom na RADIUS. No, njegova uporaba nije nužna jer se sve može napraviti direktno preko LDAP-a.

Kuharice: 
Kategorije: 

Kako promijeniti domenu? (2. dio)

Nakon što smo u prošlom nastavku (nalazi se na adresi http://sistemac.carnet.hr/node/583) opisali koje sve predradnje trebate obaviti, te kako podesiti BIND, u ovom dijelu ćemo opisati (za neke) lakši dio - konfiguracija servisa kako bi prepoznali i počeli rabiti novu domenu. Neke stvari se mogu napraviti i prije nego što DNS služba aktivira domenu, ali za to zapravo nema potrebe.

Kuharice: 
Kategorije: 

Stranice

Pretplati se na Servisi