Salta l'introduzione Italia - Italiano
HP.com Italia Prodotti e Servizi Supporto e Drivers Soluzioni Come Acquistare
» Contatta HP
Altre opzioni
HP.com Italia
 Manuale dell'utente di Distributed Systems Administration Utilities > Capitolo 3 Registrazione eventi consolidata

Protezione dei registri eventi consolidati
» 

Documentazione tecnica

Libro completo in PDF
» Feedback
Inizio contenuto

 » Sommario

 » Indice

spacerspacerspacer
spacer
spacer
  		 
 

In un sistema HP-UX standard, tutti gli utenti sono in grado di visualizzare il file locale di sistema /var/adm/syslog/syslog.log. L'accesso ai registri eventi consolidati è in genere soggetto a limitazioni. Il server di consolidazione dei registri eventi stesso è un sistema ad accesso limitato, con criteri di protezione rigorosi.

Protezione del file di log

Un livello di protezione sono le autorizzazioni dei file di log consolidati stessi. Ciò è controllato utilizzando il file syslog-ng.conf.server. È possibile specificare le autorizzazioni per ogni “file” syslog-ng di destinazione. Se la directory dei registri eventi di un file consolidato non dovesse esistere, è possibile indicare a syslog-ng di crearla, (create_dirs(yes)) e di impostare anche le autorizzazioni e la proprietà della directory. Ad esempio,

destination d_file { file(“/clog/test/esempio.log” );
 dir_owner(root);
 dir_group(sys);
 dir_perm(0600);
 owner(root);
 group(sys);
 perm(0600);
};

Port forwarding ssh

Il port forwarding ssh imposta un canale per il trasferimento dei registri eventi tra il daemon syslog-ng del client d'inoltro ed il daemon syslog-ng del server di consolidazione. Questo canale basato su ssh è disponibile soltanto quando si utilizza il trasporto TCP, non quello UDP. Inoltre, il port forwarding ssh non è utilizzato per inoltrare il trasferimento delle registrazioni eventi all'interno di un cluster Serviceguard (da membro a membro). Per il traffico all'interno del cluster, sono utilizzati i protocolli TCP o UDP standard.

Il port forwarding ssh è trasparente per syslog-ng. Il file /etc/syslog-ng.conf.client è configurato in modo tale che syslog-ng inoltri il trasferimento dei registri eventi alla porta locale gestita da ssh. L'istanza locale di ssh si connette a quella remota di sshd, nel server di consolidazione dei registri eventi, quindi sshd apre la porta TCP standard di syslog-ng. Il sistema remoto di consolidazione dei registrazione eventi crede che si tratti di un client standard di inoltro dei registri eventi e non si rende conto del canale di comunicazione aperto.

Un problema di questo canale di ssh è l'eventuale malfunzionamento del server di consolidazione dei registri eventi. In caso di arresto normale oppure anomalo del server di syslog-ng, il canale ssh remoto sarà interrotto. Il canale ssh del client ritenterà la connessione ad intervalli di un minuto. Il periodo di riconnessione è configurabile.

Ogni tentativo di riconnessione andato a vuoto è registrato nel syslog.log locale del client. Durante questo tempo, il file di log client di syslog-ng (/var/adm/syslog/syslog-ng.log) mostrerà i tentativi di riconnessione del canale. Il periodo di riconnessione predefinito è di 10 secondi. Ciò è configurabile tramite l'impostazione globale del parametro syslog-ng "time_reopen(secondi)". Per i dettagli, vedere il manuale open source di syslog-ng (/opt/dsau/doc/syslog-ng).

Port forwarding ssh verso un server di consolidazione in un cluster Serviceguard

Quando si utilizza il port forwarding ssh con un cluster Serviceguard come server di consolidazione dei registri eventi, è necessaria una speciale configurazione per ssh.

In generale, l'uso del port forwarding ssh richiede che il server di consolidazione dei registri eventi esegua lo scambio di chiavi con il client inoltrante i registri eventi. In particolare, la chiave pubblica di ssh del client remoto che esegue l’inoltro deve essere aggiunta al file delle chiavi autorizzate del server di consolidazione. Inoltre, l’impronta digitale del server di consolidazione è aggiunta al file /.ssh/known_hosts del client di inoltro. Dopo questo scambio di chiavi, il client inoltrante i registri eventi sarà un sistema fidato, a questo punto il server di consolidazione server non dovrà richiedere la password per ssh.

Dato che il server di consolidazione è un pacchetto, potenzialmente potrebbe essere eseguito in ogni membro del cluster. Questo scambio di chiavi tra il client remoto inoltrante i registri eventi ed un membro del cluster dovrà essere replicato per ogni membro. Ciascun membro del cluster dovrà stabilire la medesima relazione di fiducia con i client di inoltro dei registri eventi.

Potrebbe sorgere un problema con l'impronta digitale di known_host del client d'inoltro dei registri eventi. Quando si utilizza l’indirizzo IP riallocabile del pacchetto per lo scambio iniziale di chiavi per ssh, l'impronta digitale del nodo adottivo sarà aggiunta al file locale /.ssh/known_hosts del client. Quando il pacchetto esegue il recupero degli errori ed è ristabilita la connessione ssh, il nuovo nodo adottivo avrà un'impronta digitale differente e ssh interpreterà questo come un attacco del tipo “man-in-the-middle” e rifiuterà di ristabilire il canale ssh.

Per impedire questa situazione, dal punto di vista dei client di inoltro dei registri eventi, ogni membro del cluster dovrà apparire come se fosse il medesimo sistema. Questo potrà essere ottenuto facendo sì che ciascun membro del cluster usi un'identica chiave host. Le chiavi host per ssh si trovano in /opt/ssh/etc e sono contenute nei file seguenti:

  • ssh_host_key

  • ssh_host_key.pub

  • ssh_host_dsa_key

  • ssh_host_dsa_key.pub

  • ssh_host_rsa_key

  • ssh_host_rsa_key.pub

Scegliere uno dei membri del cluster e copiare questi file nella medesima directory degli altri membri. L’uso dello strumento “cluster copy” oppure di quello cpp è un modo rapido per farlo, con i comandi seguenti:

# cd /opt/ssh/etc/

# ccp ssh_host_* /opt/ssh/etc/

Eseguire quindi in ogni client di consolidazione dei registri eventi lo scambio standard di ssh con l’indirizzo IP riallocabile del pacchetto clog. Un modo di fare ciò è utilizzare lo strumento csshsetup (vedere csshsetup(1)), nel modo seguente:

# csshsetup nome_DNS_del_pacchetto_clog

Per eseguire lo scambio iniziale di chiavi, csshsetup chiederà la password del cluster.

Uso delle porte di rete con clog

Il corretto funzionamento di syslog e syslog-ng richiede la disponibilità di specifiche porte di rete. Queste porte sono le seguenti:

  • UDP 514 – Questa porta è utilizzata dai client syslogd per l'inoltro dei messaggi dei registri eventi

  • Porta TCP numero_porta – l'amministratore sceglie quale porta TCP il sistema di consolidazione dei registri eventi syslog-ng utilizza per la ricezione dei messaggi.

  • Porta TCP 22 – Quando si utilizza il port forwarding ssh per creare dei canali crittografati, i client remoti comunicano con il daemon sshd del server di consolidazione dei registri eventi. In una configurazione predefinita, questo daemon è in ascolto nella porta TCP 22.

Uso di Bastille per rafforzare il sistema

Bastille è uno strumento di rafforzamento della protezione, che è possibile usare per migliorare la sicurezza del sistema operativo HP-UX. Fornisce il bloccaggio personalizzato sistema per sistema, consentendo all’amministratore di scegliere da elenchi di controllo per rafforzamento e bloccaggio quali funzionalità di protezione attivare o disattivare.

Bastille può essere utilizzato per rafforzare un server di consolidazione dei registri eventi, abilitando gli strumenti di protezione come i filtri IP. Nel caso i filtri IP siano attivati, le porte descritte in “Uso delle porte di rete con clog” non devono essere bloccate.

Inoltre, Bastille pone le seguenti domande, che hanno effetto sui sistemi di consolidazione dei registri eventi:

Do you want to BLOCK incoming Secure Shell connections with IPFilter?

Quando si configura un server di consolidazione, se si prevede di supportare i client utilizzando il trasporto TCP ed i canali di connessione ssh al server, rispondere No alla domanda.

Would you like to restrict the system logging daemon to local connections?

Rispondendo sì a questa domanda si aggiunge l'opzione -N a /etc/syslog.conf. Quando si configura un server per la consolidazione dei registri eventi, questa opzione è necessaria. La procedura guidata clog_wizard la aggiunge automaticamente; anche le istruzioni per la configurazione manuale spiegano le necessarie modifiche al file /etc/syslog.conf.



Disattivazione della consolidazione dei registri eventi
  		 


Visualizzazione dei registri eventi consolidati  
Versione stampabile
Informativa sulla privacy Usando questo sito si accettano le sue condizioni
© Hewlett-Packard Development Company, L.P.