Logfile in Echtzeit spiegeln

[clausekowski]

Ich überlege die Logfiles zusätzlich auf einem anderen Server zu speichern. Hintergrund: Wenn jemand unbefugt Zugriff auf einen Server erlangt und dort die Logfiles löscht um seine Spuren zu verwischen, soll das gespiegelte Logfile auf dem anderen Server noch vorhanden sein. Das gespiegelte Logfile muss also vor Löschen durch den Unbefugten geschützt sein und in Echtzeit geschrieben werden.

Gibt es hierzu fertige Lösungen? Ist dieses Vorhaben überhaupt praktikabel oder wäre das mit extrem hohem Aufwand verbunden?

Freue mich auf Erfahrungsberichte, Denkanstöße oder Tipps, wie eine solche Lösung erstellt werden könnte. Vielen Dank!

 

[killerbees19]

Du kannst mit rsyslog/syslog-ng über TCP auch direkt auf andere Server loggen: http://www.ubuntu.com/system/files/CentralLogging-v4-20090901-03.pdf


MfG Christian

 

[voodoo44]

Ich hätte mir das File einfach via Symlink in einen, nur mir bekannten und ggf. vom Web zugänglichen, Ordner gelegt und diesen z.B. via cronjob+wget alle 5 Sekunden abholen lassen.

Damit müsstest du keinen "direkten" Zugang von Server 1 zu Server 2 aufbauen, da beide komplett unabhängig voneinander arbeiten. Ob ein Hacker jetzt innerhalb der wenigen Sekunden sofort alle Logdateien löscht wage ich mal zu bezweifeln.

Ist vermutlich auch eher eine "unsaubere" Anfängerlösung ... ist aber das einfachste und schnellste was mir auf Anhieb einfallen würde.

 

[PapaBaer]

Ich hätte mir das File einfach via Symlink in einen, nur mir bekannten und ggf. vom Web zugänglichen, Ordner gelegt

Das ist security by obscurity. Und wie sich oft genug zeigt, funktioniert das nicht. Irgendjemand kommt drauf und dann liegen Logfiles für alle lesbar im Netz.

http://de.wikipedia.org/wiki/Security_through_obscurity

Wie killerbees19 geschrieben hat, bringt Syslog Netzwerkfähigkeit mit, genau für diesen Fall.

 

[traced]

Wie beschrieben einfach Syslog per TCP gleichzeitig auf zwei "empfangende" Server loggen lassen, und gut is

Grüsse
Basti

 

[clausekowski]

Erstmal besten Dank für die Tipps!

Da bei rsyslog -- im Gegensatz zu syslog-ng -- die Datenübertragung mittels TLS verschlüsselt werden kann, plane ich rsyslog genauer zu testen. Laut http://www.rsyslog.com/doc/install.html ("Step 6 - Disable stock syslogd") muss der hier laufende syslogd durch rsyslog ersetzt werden, was ich nachvollziehen kann. Ich frage mich ob Plesk 9.5.4 (OS ist Ubuntu 8.04 LTS) dabei mitspielt oder durch eine rsyslog-Installation absehbar beschädigt wird? Bei Plesk habe ich schon viele Überraschungen erlebt und werde das selbstverständlich erst auf Testservern versuchen. Aber ich stelle zusätzlich mal die Frage in die Runde: Hat schon jemand auf einem Ubunutu-Server mit Plesk 9 erfolgreich syslogd durch rsyslog ersetzt? Gibt es dabei Besonderheiten zu beachten um Plesk einsatzfähig zu behalten?