Mon pense-bêtes logcheck

Logcheck est un outil qui scrute les logs, en fait un résumé et envoie un courriel à l'administrateur (généralement root en local) régulièrement. .Il se paramètre grâce à des règles (rules en anglais). Voici mon petit pense-bêtes pour améliorer les règles existantes.

Pour améliorer les règles concernant ssmtp et supprimer les remontées suivantes :

Mar  9 10:01:25 xxxxxxxx sSMTP[29992]: Creating SSL connection to host
Mar  9 10:01:25 xxxxxxxx sSMTP[29992]: SSL connection using RSA_AES_128_CBC_SHA1
Mar  9 10:01:25 xxxxxxxx sSMTP[29992]: Sent mail for miel@chg-web.com (221 2.0.0 Closing connection.) uid=107 username=logcheck outbytes=2012

Modifions le fichier /etc/logcheck/ignore.d.server/ssmtp avec un éditeur de texte :

^\w{3} [ :0-9]{11} [._[:alnum:]-]+ sSMTP\[[0-9]+\]: Creating SSL connection to host$
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ sSMTP\[[0-9]+\]: SSL connection using [._[:alnum:]-]+$
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ sSMTP\[[0-9]+\]: Sent mail for .*$

Pour améliorer les règles concernant l'antivirus Clamav et sou outil de mise à jour freshclam, nous pouvons ajouter les lignes suivantes dans le fichier /etc/logcheckignore.d.server/clamav-freshclam avec un éditeur de texte : <code> ^\w{3} [ :0-9]{11} [._[:alnum:]-]+ freshclam\re-opening log file)$ ^\w{3} [ :0-9]{11} [._[:alnum:]-]+ freshclam\[[0-9]+\]: (bytecode|daily|main)\.c(l|v)d (is up to date|updated) \(version: [0-9]+, sigs: [0-9]+, f-level: [0-9]+, builder: \w+\)$ ^\w{3} [ :0-9]{11} [._[:alnum:]-]+ freshclam\[[0-9]+\]: Clamd successfully notified about the update\.$ ^\w{3} [ :0-9]{11} [._[:alnum:]-]+ freshclam\[[0-9]+\]: --------------------------------------$ ^\w{3} [ :0-9]{11} [._[:alnum:]-]+ freshclam\[[0-9]+\]: Database updated \([0-9]+ signatures\) from .* \(IP: [0-9.]+\)$ ^\w{3} [ :0-9]{11} [._[:alnum:]-]+ freshclam\[[0-9]+\]: Downloading daily-[0-9]+.cdiff \[100%\] ?$ ^\w{3} [ :0-9]{11} [._[:alnum:]-]+ freshclam\[[0-9]+\]: (\w{3} \w{3} [ :0-9]{16} -> )?(main|daily|safebrowsing|bytecode)\.c(l|v)d (is up to date|updated) \(version: [0-9]+, sigs: [0-9]+, f-level: [0-9]+, builder: \w+\)$ ^\w{3} [ :0-9]{11} [._[:alnum:]-]+ freshclam\[[0-9]+\]: (\w{3} \w{3} [ :0-9]{16} -> )?Downloading (daily|safebrowsing|bytecode)(-[0-9]+)?.(cdiff|cvd) \[(100%|\*)\] ?$ ^\w{3} [ :0-9]{11} [._[:alnum:]-]+ freshclam\[[0-9]+\]: (\w{3} \w{3} [ :0-9]{16} -> )?Empty script safebrowsing-[0-9]+.cdiff, need to download entire database$ ^\w{3} [ :0-9]{11} [._[:alnum:]-]+ freshclam\[[0-9]+\]: (\w{3} \w{3} [ :0-9]{16} -> )?(WARNING: |\^)Your ClamAV installation is OUTDATED! ^\w{3} [ :0-9]{11} [._[:alnum:]-]+ freshclam\[[0-9]+\]: (\w{3} \w{3} [ :0-9]{16} -> )?(WARNING: |\^)Local version: [0-9.]+ Recommended version: [0-9.]+ ^\w{3} [ :0-9]{11} [._[:alnum:]-]+ freshclam\[[0-9]+\]: (\w{3} \w{3} [ :0-9]{16} -> )?DON'T PANIC! Read .* ^\w{3} [ :0-9]{11} [._[:alnum:]-]+ freshclam\[[0-9]+\]: (\w{3} \w{3} [ :0-9]{16} -> )?Database updated \([0-9]+ signatures\) from .* ^\w{3} [ :0-9]{11} [._[:alnum:]-]+ freshclam\[[0-9]+\]: (\w{3} \w{3} [ :0-9]{16} -> )?Received signal: wake up ^\w{3} [ :0-9]{11} [._[:alnum:]-]+ freshclam\[[0-9]+\]: (\w{3} \w{3} [ :0-9]{16} -> )?ClamAV update process started at .* ^\w{3} [ :0-9]{11} [._[:alnum:]-]+ freshclam\[[0-9]+\]: (\w{3} \w{3} [ :0-9]{16} -> )?Clamd successfully notified about the update. ^\w{3} [ :0-9]{11} [._[:alnum:]-]+ clamd\[[0-9]+\]: (\w{3} \w{3} [ :0-9]{16} -> )?SelfCheck: Database status OK.$ </code> ===== Notes de version ===== * [13/06/2018] : Création de l'article * [23/07/2019] : Ajout de la section clamav - freshclam ===== Auteurs et sources ===== * Auteur : [[:user:montuy337513 ===== Navigation ===== * Accueil * La sécurisation d'un serveur dédié Debian * Utilisation générale de Debian * Automatisation des tâches sur un serveur Debian * Disques, répertoires et fichiers * Les log serveurs dédiés Debian * Gestion des utilisateurs et des groupes sur Debian * Apache2 / PHP sur Debian * Serveur de mails avec Postfix sur Debian * Serveur MySQL / mariaDB sur Debian * Divers et les inclassables