Re: [Admin-ml] Incantation appelienne sur la sécurité avec syslog.

Benoit GARCIA benoit.garcia at x2p.fr
Mar 29 Sep 22:01:04 CEST 2009


Le 29/09/09 10:17, Fabien COMBERNOUS a écrit :
> Bonjour la liste.
Hello
> J'ai l'intention de mettre en place un serveur de log. Pour le moment 
> j'ai fais des tests simples sans aucun sécurité. Je reçois bien les 
> logs de toutes les machines sur une unique machine. Bien ... Je me 
> suis dit c'est beau, mais tout ceci manque de sécurité. Je pensais à :
> - limiter les machines qui peuvent écrire sur la machine centrale.
> - chiffrer les échanges.
>
> Ni une ni deux je vais sur le guide Apple qui explique comment 
> sécuriser Léopard. Et voilà ce que je trouve :
> "Using remote logging is strongly recommended. If computer logs are 
> stored on a
> remote computer they can be analyzed: however, you must ensure the 
> logs are
> transferred securely to the remote computer and that they are secure. 
> Otherwise, the
> log files could be modified through a man-in-the-middle attack. "
>
> Fin de citation.
>
> A part ces incantations, aux quelles je souscrit, rien. Aucune 
> explication détaillées de comment le faire. Et je n'ai rien trouver 
> sur le web qui explique comment sécuriser ce genre de chose sur 
> MacOSX. Quelqu'un a des liens ? des infos ? des howto ? 
Pour le filtrage il suffit de configurer le firewall sur le serveur qui 
collectera les logs pour que seules les machines déclarées puisse 
l'attaquer via syslog (si on parle bien de syslog?).

Pour le cryptage, ça dépend de comment vous voulez faire votre analyse. 
Est-ce du temps réel ou de l'analyse à postériori?
Pour tu temps réel, je ne vois que 2 solutions:

    * Passer en TCP (syslog utilise traditionnellement de l'UDP)
    * Mettre de l'IPSec (particulièrement pour les machines situées dans
      des zones non sécurisées comme des DMZ publiques)

Attention à la quantité des logs envoyés. Il suffit de quelques machines 
particulièrement bavardes pour faire saturer le collecteur si la machine 
est mal dimensionnée.

Si c'est de l'analyse à posteriori, c'est plus facile, un coup de SCP 
dans une crontab et c'est réglé.

-- 
Cordialement,
Benoit Garcia<benoit.garcia at x2p.fr>
Tel: +33 (0)1 80 81 50 35
Mob: +33 (0)6 26 69 78 59
http://www.xpress2people.com





Plus d'informations sur la liste de diffusion Admin-ml