[Analyse des logs système avec Tenshi – Partie 2] Configuration (1)

Par Xavier Poli, secuobs.com
Le 07/04/2008

---

Résumé : Dissection du fichier de configuration partie par partie afin de comprendre les tenants et les aboutissants du fonctionnement de Tenshi, ce qui nous permettra également de faire la connaissance des mécanismes qui régissent l'analyse des logs. - Lire l'article



NDLR : ce document a été rédigé en 2006, certaines versions ainsi que certaines configurations des logiciels utilisés selon ces versions peuvent être différentes de celles qui sont mentionnées ; merci de vous reporter vers les sites officiels des projets en question en cas de problème.


Une fois l'installation réalisée, nous pouvons passer à l'étape suivante, à savoir la configuration : celle-ci s'opère par l'intermédiaire d'un fichier unique dénommé « tenshi.conf » et présent sous le chemin « /etc/ tenshi/tenshi.conf »

root@ns30074:~/tenshi-0.4 # vi /etc/tenshi/tenshi.conf


On retrouve en début de fichier les configurations dites « génériques » avec notamment le positionnement de l'utilisateur « tenshi » et du groupe « tenshi » précédemment évoqués, créés sur le système et qui seront les propriétaires des processus liés au lancement ultérieur de Tenshi :

##
## tenshi 0.4 sample conf
##

# general settings

set uid tenshi
set gid tenshi


La ligne de configuration suivante nécessite quelques ajustements, par défaut on trouve « set pidfile /var/run/tenshi.pid », or les fichiers régissant les PID sont localisés dans le répertoire « /var/run/ » qui appartient par défaut à l'utilisateur « root » :

ls -l /var/ | grep run
drwxr-xr-x 17 root root 4096 2006-06-16 07:57 run


Les opérations suivantes sont alors à réaliser pour résoudre ce problème :

- création d'un répertoire spécifique au PID de Tenshi,

root@ns30074:~/tenshi-0.4 # mkdir /var/run/tenshi


- positionnement des droits nécessaires à la création future des fichiers PID dans ce répertoire lors du lancement de Tenshi,

root@ns30074:~/tenshi-0.4 # chown tenshi:root /var/run/tenshi/


- vérification de la bonne tenue de l'opération précédente :

root@ns30074:~/tenshi-0.4 # ls -l /var/run/ | grep tenshi
drwxr-xr-x 2 tenshi root 4096 2006-06-16 01:49 tenshi


Il ne reste plus ensuite qu'à remplacer, dans le fichier de configuration, la ligne « set pidfile /var/run/tenshi.pid » par « set pidfile /var/run/tenshi/tenshi.pid » afin d'éviter les avertissements relatifs au problème évoqué lors des prochains lancements de Tenshi.

La suite de la configuration permet de définir les fichiers de logs qui vont être surveillés et dont les alertes vont vous être reportées ; par défaut on retrouve les deux lignes suivantes :

set logfile /var/log/messages
set logfile /var/log/mail.log


Idéalement, et à ajuster selon le contexte de votre distribution en ce qui concerne la gestion du « logging » des différents événements par « syslogd » ou autres, vous pouvez ajouter les lignes suivantes pour rendre cette liste la plus exhaustive possible et l'analyse plus efficace :

set logfile /var/log/syslog
set logfile /var/log/sulog
set logfile /var/log/user.log
set logfile /var/log/auth.log


Viennent maintenant quelques optimisations que vous pouvez laisser par défaut au contraire de la définition du serveur SMTP qui sera utilisé pour l'envoi des rapports si vous ne souhaitez pas utiliser celui par défaut tournant sur « localhost » donc localement :

set sleep 5
set limit 800
set pager_limit 2
set mask ___
set mailserver mail.infratech.fr
set subject Tenshi report
set hidepid on


Tenshi a la particularité singulière de ne pas utiliser la « crontab » du système pour son fonctionnement ; il est donc possible de configurer différents éléments d'automatisation directement dans le fichier « tenshi.conf » et cela selon plusieurs critères.

Les éléments de type « queue » sont à mettre en place via la syntaxe suivante : « set queue [] » ; le sujet par défaut est « tenshi report » si vous n'en précisez pas de spécifiques.

On peut voir ci-dessous 6 éléments configurant l'envoi depuis « webmaster@infratech.fr » vers « xavier.poli@infratech.fr » selon des fréquences et des périodes différentes dans la journée en fonction de leur criticité.

Pour l'élément « mail », envoi programmé à 18h30 d'un rapport et cela tous les jours :

set queue mail webmaster@infratech.fr xavier.poli@infratech.fr [30 18 * * *]


Pour l'élément « nf », envoi programmé toutes les trente minutes d'un rapport et cela tous les jours :

set queue nf webmaster@infratech.frt xavier.poli@infratech.fr [*/30 * * * *]


Pour l'élément « report », envois programmés toutes les 2 heures dans l'intervalle compris entre 9 heures et 17 heures d'un rapport et cela tous les jours :

set queue report webmaster@infratech.frt xavier.poli@infratech.fr [0 9-17/2 * * *]


Pour l'élément « misc », envois programmés dans les mêmes conditions que l'élément précédent :

set queue misc webmaster@infratech.fr xavier.poli@infratech.fr [0 9-17/2 * * *]


Pour l'élément « critical », envoi programmé immédiatement à chaque occurrence identifiée :

set queue critical webmaster@infratech.fr xavier.poli@infratech.fr [now]


Pour l'élément « root », envoi programmé immédiatement à chaque occurrence identifiée :

set queue root webmaster@infratech.fr xavier.poli@infratech.fr [now]


L'envoi des rapports vers des utilisateurs multiples est également possible à configurer ; il suffit pour cela de remplacer « xavier.poli@infratech.fr » par « xavier.poli@infratech.fr , root@infratech.fr » par exemple.

On trouve à la suite du fichier les exceptions qui permettront de ne pas reporter des informations ne présentant pas d'intérêt ; elles sont envoyées vers un élément « trash » qui ne fait pas parti de la « contrab » d'envoi des rapports :

trash ^hub.c
trash ^usb.c
trash ^uhci.c
trash ^sda
trash ^Initializing USB
trash ^scsi0 : SCSI emulation
trash ^Vendor:
trash ^Type:
trash ^Attached scsi removable
trash ^SCSI device sda
trash ^sda: Write
trash ^/dev/scsi
trash ^WARNING: USB
trash ^USB Mass Storage
trash ^/dev
trash ^ISO
trash ^floppy0
trash ^end_request
trash ^Directory
trash ^I/O error: dev 08:(.+), sector


Dans le même registre, on supprime les indications pour les répétitions des enregistrements :

repeat ^(?:last message repeated|above message repeats) (\\d+) time


Autres ressources dans ce dossier :

[Analyse des logs système avec Tenshi – Partie 1] Introduction et installation – lien

[Analyse des logs système avec Tenshi – Partie 3] Configuration (2) – lien

[Analyse des logs système avec Tenshi – Partie 4] Utilisation et conclusion – lien

Les mots clés pour les articles publiés sur SecuObs : système
Voir tous les articles de "Xavier Poli" publiés sur SecuObs (302 résultats)
Voir tous les articles publiés par l'organisme "secuobs" sur SecuObs (773 résultats)

Version imprimable de cet article

Suivre l'ensemble des commentaires SecuObs en RSS
Suivre tous les commentaires de la categorie Tutoriels en RSS

- Article suivant : [Analyse des logs système avec Tenshi – Partie 3] Configuration (2)
- Article précédent : [Analyse des logs système avec Tenshi – Partie 1] Introduction et installation
- Article suivant dans la catégorie Tutoriels : [Analyse des logs système avec Tenshi – Partie 3] Configuration (2)
- Article précédent dans la catégorie Tutoriels : [Analyse des logs système avec Tenshi – Partie 1] Introduction et installation

Les derniers commentaires de la catégorie Tutoriels:
- ESRT @dinodaizovi - New metasploit blog post - analyzes the ... - ESRT @iagox86 @hdmoore - Using Metasploit to Locate and Expl ... - ESRT @opexxx @synopsi - Remote stack overflows ... - The New Disclosure Debate and the Evil Mr. Moore ... - OSSIM v2.2 Multiple Vulnerabilities ...

Les derniers articles de la catégorie Tutoriels :
- PktAnon un framework pour l anonymat des traces PCAP - [NessusWX – Partie 2] Audits et conclusion - [NessusWX – Partie 1] Introduction, installation et configuration - [IDS Snort Windows – Partie 4] Conclusion et webographie - [IDS Snort Windows – Partie 3] Exemple de fichier de configuration - [IDS Snort Windows – Partie 2] Installation et configuration - [IDS Snort Windows – Partie 1] Introduction aux IDS et à SNORT - [Sécurité et PHP - Partie 5] Astuces - [Sécurité et PHP - Partie 4] Remote PHP Vulnerabilty Scanner - [Sécurité et PHP - Partie 3] Les failles PHP + d'articles de la catégorie Tutoriels

Les derniers commentaires publiés sur SecuObs (6-25):
- ESRT @iagox86 @hdmoore - Using Metasploit to Locate and Exploit the Energizer - ESRT @innismir - New Weblog Post -- Finding Malware on your network via cache - Sniffing with Wireshark as a Non-Root User - Focus on MacNikto v1.1.1 - New Google Chrome v4.1.249.1036 released, fixes multiple security vulnerabili - ESRT @opexxx @synopsi - Remote stack overflows - ESRT @postmodern_mod3 @tmm1 - memprof now displays stack frames and threads - ESRT @_MDL_ @gollmann - Locking botnet agents to specific victim systems in o - CsFire 0.4.1 autonomously protects against dangerous or malicious cross-domai - Seccubus v1.4.1 - Nessus 4.2 compatibility release - ESRT @JGamblin @threatpost - Hackers say they will definitely break into an A - ESRT @hdmoore @iagox86 - Weaponizing dnscat - first version of dnscat shellco - iWep PRO 1.1.3 Released - FireCAT v1.6.2 updated with Framework Detector - ESRT @opexxx - FireCAT v1.6.2 updated with BackendInfo - sipwitch 0.7.4 - Oracle XDB FTP service UNLOCK buffer overflow exploit that spawns a reverse s - XSSploit XSS scanner multiplatfom v0.5 available - Network forensics in IRB xtractr Ruby gem - GreenPois0n Possible Jailbreak Software for iPad OS 32 Les cinq derniers commentaires publiés sur SecuObs Tous les commentaires publiés sur SecuObs avant les 25 derniers

SecuToolBox :
Bluetooth Stack Smasher v0.6 / Bluetooth Stack Smasher v0.8 / Slides Bluetooth Eurosec 2006 / Exposé vidéo Windows Shellcode - Kostya Kortchinsky / Exposé audio Reverse Engineering - Nicolas Brulez / Exposé vidéo Securitech - Pierre Betouin / WEP aircrack + Ubiquiti (MadWifi) 300 mW + Yagi / Secure WIFI WPA + EAP-TLS + Freeradius / Audit Windows / Captive Password Windows / USBDumper / USBDumper 2 / Hacking Hardware / WishMaster backdoor / DNS Auditing Tool / Ettercap SSL MITM / Exploit vulnérabilités Windows / Memory Dumper Kernel Hardening / Reverse Engineering / Scapy / SecUbuLIVE CD / Metasploit / eEye Blink Sec Center / eEye Retina Scanner + d'outils / + de tutoriels

Mini-Tagwall des articles publiés sur SecuObs :
sécurité, exploit, windows, microsoft, réseau, attaque, outil, vulnérabilité, audit, système, virus, internet, données, présentation, metasploit, linux, bluetooth, protocol, vista, scanner, réseaux, shell, engineering, rootkit, paquet, conférence, trames, wishmaster, téléphone, source, sysun, noyau, mobile, https, mémoire, rapport, botnet, téléphones, libre, reverse, navigateur, patch, snort, scapy, intel + de mots clés avec l'annuaire des articles publiés sur SecuObs

Archives Failles Secunia :
- SA38989 Fedora update for tar - SA38988 Fedora update for cpio - SA38921 SUSE update for OpenOffice_org - SA38971 Multi Auktions Komplett System id_auk SQL Injection Vulnerability - SA38945 Ubuntu update for audiofile + d'archives failles avec Secunia et SecuMail

Archives Mailing Full Disclosure :
- Full-disclosure Claude Mercier/CLSC-CHSLD BVLV/Reg03/SSSS est absent(e). - Re: Full-disclosure Fingerprinting Paper with Laser - Full-disclosure Vulnerability Httpdx v1.5.3b - Full-disclosure CA20100318-01: Security Notice for CA ARCserve Backup - Re: Full-disclosure Fingerprinting Paper with Laser + d'archives Full Disclosure avec SecuMail

Archives Mailing Bugtraq :
- announcing skipfish, an automated web app security scanner - Vulnerability Httpdx v1.5.3b - IBM Lotus 6.x HTTP Response Splitting Vulnerability - There are lost of xss vul in PHPWind v6.0 ! - CA20100318-01: Security Notice for CA ARCserve Backup - SECURITY DSA-2018-1 New php5 packages fix null pointer dereference + d'archives Bugtraq avec SecuMail

Mini-Tagwall de l'annuaire video :
vmware, security, virus, biometric, windows, lockpicking, password, botnet, metasploit, tutorial, attack, crypt, linux, network, iphone, server, exploit, wimax, conficker, virtu, virtual, engineering, cisco, reverse, shmoocon, wireshark, ettercap, hacker, firewall, internet, knoppix, rootkit, arduino, wireless, source, conference, backtrack, openbsd, brucon, systm, overflow, openssh, access, buffer, remote + de mots clés avec l'annuaire des videos

Mini-Tagwall des articles de la revue de presse :
security, microsoft, windows, hacker, attack, network, vulnerability, google, exploit, malware, internet, remote, iphone, server, inject, patch, apple, twitter, mobile, virus, ebook, facebook, vulnérabilité, crypt, source, linux, password, intel, research, virtual, phish, access, tutorial, trojan, social, privacy, firefox, adobe, overflow, office, cisco, conficker, botnet, pirate, sécurité + de mots clés avec l'annuaire de la revue de presse

Mini-Tagwall des Tweets de la revue Twitter :
security, linux, botnet, attack, metasploit, cisco, defcon, phish, exploit, google, inject, server, firewall, network, twitter, vmware, windows, microsoft, compliance, vulnerability, python, engineering, source, kernel, crypt, social, overflow, nessus, crack, hacker, virus, iphone, patch, virtual, javascript, malware, conficker, pentest, research, email, password, adobe, apache, proxy, backtrack + de mots clés avec l'annuaire de la revue Twitter