[DNS] 把Named 產生的log放到遠端伺服器 @新精讚

[無邊框]

674

[DNS] 把Named 產生的log放到遠端伺服器

“

把named的log放到log server以符合資安的需求。

„

分享此文連結 //n.sfs.tw/16378

分享連結 [DNS] 把Named 產生的log放到遠端伺服器@新精讚

(文章歡迎轉載，務必尊重版權註明連結來源)

2024-06-07 01:26:55 最後編修

2024-03-19 16:46:58 By 張○○

自動目錄

修改named.conf
修改 rsyslog.conf
SELINUX
參考資料

此例是把named的log放到logserver。

CentOS Linux release 7.4.1708 (Core) &&
Rocky Linux release 9.3 (Blue Onyx)

修改named.conf

named.conf 在options{} 後加上以下設定^[1]

logging {
.. <部分省略>
         channel lamer-log {
                 file "data/lamer-log" versions 3 size 100m;
                 severity info;
                 print-severity yes;
                 print-time yes;
                 print-category yes;
         };
         channel query-log {
                 file "data/query-log" versions 20 size 100m;
                 severity info;
                 print-severity yes;
                 print-time yes;
                 print-category yes;
         };
...
         category lame-servers { lamer-log; };
         category queries { query-log;};
};

file "data/lamer-log" versions 3 size 100m;

此範例log檔會存在 /var/named/data/ 的目錄下，檔名會是 lamer-log、 lamer-log.0、 lamer-log.1 共存 3份，每份最大100mb循環寫入

重啟named

# service named restart

修改 rsyslog.conf

修改rsyslog.conf [3]

加入模組 imfile

CentOS Linux release 7.4.1708 (Core)

$ModLoad imfile

Rocky Linux release 9.3 (Blue Onyx)

module(load="imfile")

新增檔案 /etc/rsyslog.d/named.conf

input(type="imfile" File="/var/named/data/query-log" Tag="ddnss-querylog" Facility="local3" Ruleset="nreporter")
input(type="imfile" File="/var/named/data/lamer-log" Tag="ddnss-lamerlog" Facility="local3" Ruleset="nreporter")
ruleset(name="nreporter"){ action(type="omfwd" Target="192.168.53.147" Port="514" Protocol="udp") }

重啟 rsyslog

# service rsyslog restart

如此就能把LOGS 送到遠端的機器192.168.53.147中。

我是這樣想的，結果LOG SERVER一直沒有收到資料，原來是SELINUX的問題…

SELINUX

Selinux 如果不關掉的話，在啟動rsyslog時就會出錯^[4]

python: SELinux is preventing in:imfile from read access on the file query-log.#012#012***** Plugin catchall (100. confidence) suggests **************************#012#012If you believe that in:imfile should be allowed read access on the query-log file by default.#012Then you should report this as a bug.#012You can generate a local policy module to allow this access.#012Do#012allow this access for now by executing:#012# ausearch -c 'in:imfile' --raw | audit2allow -M my-inimfile#012# semodule -i my-inimfile.pp#012

audit中的錯誤

type=AVC msg=audit(1710820132.783:14087335): avc: denied { getattr } for pid=22562 comm="in:imfile" path="/var/named/data/query-log" dev="dm-0" ino=34444606 scontext=system_u:system_r:syslogd_t:s0 tcontext=system_u:object_r:named_cache_t:s0 tclass=file

AVC stands for Access Vector Cache. [2]

依上面的指示下指令

# ausearch -c 'in:imfile' --raw | audit2allow -M my-inimfile

# semodule -i my-inimfile.pp

查看

# audit2allow -a

#============= syslogd_t ==============
#!!!! This avc is allowed in the current policy
allow syslogd_t named_cache_t:file { getattr ioctl open read };

以上就能正確的將NAMED產生的LOG傳到LOG SERVER了。

參考資料

[1] BIND Queries log to Remote Syslog Server https://www.linuxquestions.org/questions/linux-server-73/bind-queries-log-to-remote-syslog-server-4175669371/

[2] https://wiki.gentoo.org/wiki/SELinux/Tutorials/Where_to_find_SELinux_permission_denial_details

[3] https://www.npartnertech.com/upload/Download/N-Partner_Linux_BIND(DNS)_syslog-TW-004.pdf

[4] https://access.redhat.com/documentation/zh-tw/red_hat_enterprise_linux/6/html/security-enhanced_linux/sect-security-enhanced_linux-selinux_contexts_labeling_files-persistent_changes_semanage_fcontext

END

你可能感興趣的文章

SELinux 常用指令和檔案在Redhat系列中，Centos5以後加入了selinux，他並沒有這麼可怕，不必每次看到Selinux ，就想把他

[CENTOS8] Failed to download metadata for repo 'appstream' 的問題 Failed to download metadata for repo 'appstream': Cannot prepare internal mirrorlist: No URLs in mirrorlist的解決方法。

[Rocky9] 安裝SPHINX Search 3 支援中文新版本的 sphinx 和舊版不同，網路上很多範例和教學是不能用的。此文是安裝和設定方法分享

[Rocky9] codeignitor4+ php:8.3-apache + docker compose 這次的目標是把服務裝在docker，裡面放入php8.3-apache的 docker container, 並採用codeignitor4作基礎的設置。

[CENTOS7/8] 安裝中文字型如何在Centos7上安裝和移除中文字型？

[CENTOS7] 使用 logrotate 來整理mongo日誌檔解決 mongo 的日誌檔不斷長大的問題

隨機好文

使用Google尋找你的手機這近發現google竟然可以用來找android的手機，而且不需要經過什麼設定或安裝軟體。

PHP for sphinx 函式庫安裝 PECL/sphinx PHP>= 5.2.2 已經能原生支援 sphinx，可是預設的沒有裝，我們得自己裝才能用

Linux shell 的date表示法 linux下SHELL中的date表示法

[JAVA] JWS, JWT, JWE, JOSE是什麼？ [JAVA] JWS, JWT, JWE, JOSE是什麼？非常的複雜，儘量來搞清楚..

精讚的版面變化 ▓此文僅作為舊文的記錄▓ 這篇文章為了紀念改版完成而撰寫。原本的部落格是民國97年的作品，那時還是用舊有的技術來寫，很

修改named.conf
修改 rsyslog.conf
SELINUX
參考資料

到最底端