/var/log/secure - exclude local accesses

RNA · říjen 12, 2019, 7:19pm

Dobrý den,
nenapadá vás, jak zaonačit, aby se do /var/log/secure nezapisovaly přístupy z localhost, potažmo 127.0.0.1?
Takový Nagios to kontroluje každých 5 minut a děsně to zasírá log. Takhle ten SSD asi dlouho nevydrží…

ondrej.kolin · říjen 14, 2019, 3:16pm

Ahoj z toho popisu nevim, o co presne jde, kontrola ceho? To jde asi pravdepodbne o ssh? Jak presne vypada ten radek, co se ti objevuje v logu. Podle me jde o nastaveni rsyslog, ktere udelas v /etc/rsyslog.conf. Tam je nasledujici radek, treba to pomuze

# The authpriv file has restricted access.
authpriv.*                                              /var/log/secure

RNA · říjen 14, 2019, 5:24pm

Jo, jo, je to kontrola funkčnosti SSH, ten log vypadá takto:

Oct 14 18:47:09 sumic sshd[1098]: Connection closed by 127.0.0.1 port 44376 [preauth]
Oct 14 18:52:09 sumic sshd[1210]: Connection closed by 127.0.0.1 port 44426 [preauth]
Oct 14 18:57:09 sumic sshd[1323]: Connection closed by 127.0.0.1 port 44490 [preauth]
Oct 14 19:02:09 sumic sshd[1452]: Connection closed by 127.0.0.1 port 44542 [preauth]
Oct 14 19:07:09 sumic sshd[1584]: Connection closed by 127.0.0.1 port 44606 [preauth]
Oct 14 19:12:09 sumic sshd[1787]: Connection closed by 127.0.0.1 port 44656 [preauth]
Oct 14 19:17:09 sumic sshd[1913]: Connection closed by 127.0.0.1 port 44720 [preauth]

Kouknu na ten rsyslog, snad to nějak vykoumám.

ondrej.kolin · říjen 15, 2019, 7:55am

Rsyslog umi filtrovat na zaklade regularniho vyrazu, to je podle me spravna cesta.

Mrkni se na tenhle clanek:

covex · říjen 15, 2019, 6:55pm

Nojo, jenze do syslogu jdou zpravy stejne skrz journal ze, takze se ti to bude zapisovat do systemd journalu. Samozrejme muzes prekonfigurovat journal, aby byl jen v RAM apod. ale pak se drive nebo pozdeji dockas ruznych prekvapeni…

Sesivany · říjen 17, 2019, 2:17pm

Nemusí, stačí nastavit Storage=none a logy budou rovnou posílané do rsyslogu a nebudou ukládané v journalu.

covex · říjen 17, 2019, 2:37pm

To je sice pravda, ale ma to nektere vedlejsi efekty tusim jako, ze se pak neloguje boot, resp. neni v syslogu…

ondrej.kolin · říjen 18, 2019, 1:04pm

Zpravy muzes automaticky preposilat do rsyslogu a tam je filtrovat. Pokud se ti budou libit, tak je klidne muzes zpatky poslat do journalu, nebo rovnou do toho souboru.

Bejt tebou, tak to neresim. To SSD to neodpali ani zdaleka. Meli jsme 2 SSD se zrcadleni s kompletni instalaci (server) vcetne logu a jelo to nonstop 5 let, nez bylo potreba jedno SSD vymenit.

Z odkazu nize vyjimam: See man journald.conf for ForwardToSyslog= and other options.