Skip to content →

Tag: Linux

Rsyslog : DĂ©river les messages syslog dans un fichier particulier

Published 11/04/2015 by Fabien Vincent

Depuis pas mal de temps, je me casse les dents sur la dĂ©rivation des logs envoyĂ©s au dĂ©mon rsyslog, utilisĂ©s pas dĂ©faut dans Ubuntu. En effet, j’ai installĂ© un tvheadend sur mon serveur / media center pour avoir Ă  la TV dans tous mes XBMC/Kodi, et le mode debug est un peu trop verbeux Ă  mon goĂ»t.

La configuration de base de rsyslog est fait par dĂ©faut dans “/etc/rsyslog.d/50-default.conf”. Pour qu’un fichier particulier soit traitĂ© en premier, comme dans Apache, il faut en crĂ©er un nouveau.

Par exemple, j’ai crĂ©er les fichiers suivants :

[19:54 user@home ~] > ll /etc/rsyslog.d/*
-rw-r--r-- 1 root root  483 Apr  9 21:40 /etc/rsyslog.d/10-tvheadend.conf
-rw-r--r-- 1 root root  465 Apr  9 21:40 /etc/rsyslog.d/11-dhcpd.conf
-rw-r--r-- 1 root root  469 Apr  9 21:50 /etc/rsyslog.d/12-postfix.conf
-rw-r--r-- 1 root root  311 Mar 17  2012 /etc/rsyslog.d/20-ufw.conf
-rw-r--r-- 1 root root 1.7K Apr  9 21:52 /etc/rsyslog.d/50-default.conf

Ces fichiers contiennent les dérivations suivantes :

[19:54 user@home ~] > cat /etc/rsyslog.d/10-tvheadend.conf
# Put tvheadend log in a specific log file
if $programname == 'tvheadend' then /var/log/tvheadend/tvheadend.log
& stop

[19:54 user@home ~] > cat /etc/rsyslog.d/11-dhcpd.conf
# Put isc-dhcpd-server log in a specific log file
if $programname == 'tvheadend' then /var/log/dhpcd.log
& stop

[19:54 user@home ~] > cat /etc/rsyslog.d/12-postfix.conf
# Put postfix log in a specific log file
if $programname == 'tvheadend' then /var/log/postfix.log
& stop

Il faut ensuite simplement reloader/restarter le service rsyslog pour prendre en compte ces changements, et vérifiez que vos fichiers sont bien crées (il peut subsister des problèmes de droits, surtout lorsque vous avez créer un dossier spécifique comme dans le cas de tvheadend).

A noter qu’il existe beaucoup d’options pour filtrer par programname, severity, ou de manière plus puissante par regex. Dans le cas ou vous souhaiteriez faire ceci, RFTM !

Ensuite, il ne faut oublier de configurer la rotation des logs (dans mon cas, j’ajoute un restart du process, car je n’ai pas de ‘status‘ pour le dĂ©mon tvheadend dans mon init.d) :

[20:05 user@home ~] > cat /etc/logrotate.d/tvheadend
/var/log/tvheadend/*.log {
        daily
        missingok
        rotate 7
        compress
        delaycompress
        notifempty
        create 640 syslog adm
        sharedscripts
        postrotate
                /etc/init.d/tvheadend restart
        endscript
}

Puis forcer la rotation (-f) ou débuguer (-d)

[20:09 user@home ~] > sudo logrotate -d /etc/logrotate.conf
reading config file /etc/logrotate.conf
[...]
reading config file tvheadend
[...]

rotating pattern: /var/log/tvheadend/*.log  after 1 days (7 rotations)
empty log files are not rotated, old logs are removed
switching euid to 0 and egid to 104
considering log /var/log/tvheadend/tvheadend.log
  log does not need rotating
not running postrotate script, since no logs were rotated
switching euid to 0 and egid to 0

Vous trouvez alors la rotation des logs :

[20:11 user@home ~] > ll /var/log/tvheadend/
 
-rw-r----- 1 syslog adm  12K Apr 11 20:11 tvheadend.log
-rw-r----- 1 syslog adm  48K Apr 11 09:50 tvheadend.log.1

Bon amusement !

Comments closed

Auditer la configuration sécurité de votre Unix avec Lynis

Published 28/08/2014 by Fabien Vincent

Lynis est un outil d’audit de votre système Unix/Linux (et d’autres systèmes type AIX).

L’objectif est d’amĂ©liorer la sĂ©curitĂ© de votre système par une vĂ©rification de certains Ă©lĂ©ments de sĂ©curitĂ©. Bien sĂ»r, il ne faut pas s’attendre Ă  une vĂ©rification complète de votre système d’un point de vue applicatif, mais il s’agit d’un bon dĂ©but pour auditer ce qui pourrait poser un problème de sĂ©curisation de votre machine, en cas d’attaque sur un de vos applicatifs par exemple.

Pour téléchargez Lynis, rendez vous ici : http://cisofy.com/lynis/ (http://rootkit.nl/software/lynis/)

Continue readingAuditer la configuration sécurité de votre Unix avec Lynis
Comments closed

[Linux Samba] Montage automatique de partages avec autofs

Published 24/11/2011 by Fabien Vincent

Ayant un laptop que j’emmène partout avec moi, j’ai cherchĂ© longtemps une solution pour Ă©viter de tout mettre dans le fichier /etc/fstab. Il y avait bien cette solution avec l’option noauto, mais cela est quand mĂŞme plus propre. Qui plus est, lorsque que je monte mon VPN avec OpenVPN, les shares se montent tout seul !

Pour cela, il vous suffit d’installer le package autofs

$ sudo apt-get install autofs5

Ensuite, vous pouvez Ă©diter le fichier /etc/auto.master, en spĂ©cifiant le dossier de montage principal (ici j’ai mis /media, mais vous trouverez beaucoup d’exemple avec /net), et le timeout de montage / dĂ©montage (ici 30sec) :

/media /etc/auto.cifs --ghost,--timeout=30

Ensuite, il suffit d’Ă©diter le fichier des partages Ă  monter dans /media :

$ sudo cat /etc/auto.cifs
data     -fstype=cifs,file_mode=0777,dir_mode=0755,uid=beufa,gid=users,username=beufa,password=nicepasswd,workgroup=HOME	://192.168.0.x/data
music    -fstype=cifs,file_mode=0777,dir_mode=0755,uid=beufa,gid=users,username=beufa,password=nicepasswd,workgroup=HOME	://192.168.0.x/music
video    -fstype=cifs,file_mode=0777,dir_mode=0755,uid=beufa,gid=users,username=beufa,password=nicepasswd,workgroup=HOME	://192.168.0.x/video

Bien Ă©videmment, Ă©tant donnĂ© qu’on renseigne les mots de passe dans ce fichier, il est très important de le sĂ©curiser un minimum :

$ chmod 400 /etc/auto.master
$ chmod 400 /etc/auto.cifs

Il y a juste 2 choses qui posent problème : normalement il est possible de spécifier les mots de passes dans un fichier credentials au format suivant :

username=beufa
password=nicepasswd
workgroup=HOME

Et ensuite spĂ©cifiez l’option suivante dans /etc/auto.cifs :

data     -fstype=cifs,file_mode=0777,dir_mode=0755,uid=beufa,gid=users,credentials=/etc/auto.auth	://192.168.0.x/data

Malheureusement, cette option me gĂ©nère l’erreur suivante :

CIFS VFS: No username specified

Autre point gĂ©nant, impossible de spĂ©cifier un nom de serveur, j’ai le mĂŞme genre d’erreur si je remplace l’IP par le nom du serveur.

Mais voila, avec le dĂ©tail de ce test autofs, vous devriez pouvoir monter vos partages Samba/Windows/CIFS Ă  la maison ou au travers d’un VPN, et ce automatiquement !

Bon amusement !

Comments closed
en_USEN
en_USEN fr_FRFR