ocsinventory + ModSecurity + logcheck

Le
Jean-Paul Lacharme
Bonjour,

Je fais tourner ocsinventory+GLPI sur un petit serveur web (debian
lenny). Ceci fonctionne parfaitement.
Ce serveur web est notamment protégé par le firewall web ModSecurity.
Ceci fonctionne très bien.
Je fais me remonter certains log par mail à l'aide de logcheck.
Logcheck est bavard, l'intérêt est de filtrer pour ne garder que ce qui
importe vraiment.

Le problème est qu'ocsinventory m'envoie sans doute quelques trames
imparfaites qui me donnent à chaque fois un log du type :

[Wed Aug 18 06:25:04 2010] [error] [client 139.124.176.2] ModSecurity:
Warning. Match of "rx ^OPTIONS$" against "REQUEST_METHOD" required.
[file
"/etc/apache2/conf.d/modsecurity/modsecurity_crs_21_protocol_anomalies.conf"] [line "41"] [id "960015"] [msg "Request Missing an Accept Header"] [severity "CRITICAL"] [tag "PROTOCOL_VIOLATION/MISSING_HEADER"] [hostname "junon.vcharite.univ-mrs.fr"] [uri "/ocsinventory"] [unique_id "TGtgoIt8sDkAABC@B0UAAAAH"]

dans un /var/log/apache2/error.log
seules date, IP client et Id changent

J'aimerais supprimer ce genre de remontés qui constituent 90% des
remontées de logcheck.
3 pistes :

agir au niveau d'ocsinventory-agent sur chaque poste client pour que les
trames soient bien configurées/acceptées. Me semble difficile à mettre
en oeuvre.

Agir au niveau des règles de ModSecurity :
modsecurity_crs_15_user_rules.conf ?
ou celui de modsecurity/modsecurity_crs_21_protocol_anomalies.conf en
virant la règle qui agit ici ? mais je ne veux pas trop toucher mes
règles de base.

Agir au niveau de logcheck
/etc/logcheck/ignore.d.server/<local-rules> ou
/etc/logcheck/violations.ignore.d
??

J'ai essayé pas mal de choses sans succès.
Je cherche de nouvelles idées.
Bien cordialement,

--
-
Jean-Paul LACHARME. GREQAM CNRS
UMR 6579
Centre de la Vieille Charité.
2 rue de la Charité.
13236 MARSEILLE CEDEX 2
Tel. 04.91.14.07.68
http://www.vcharite.univ-mrs.fr/GREQAM/
-

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/1282201457.29889.17.camel@p0064.vcharite.univ-mrs.fr
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Julien Valroff
Le #22484891
Bonjour,

Le jeudi 19 août 2010 à 09:04:17 (+0200), Jean-Paul Lacharme a écrit :
Date: Thu, 19 Aug 2010 09:04:17 +0200
From: Jean-Paul Lacharme To:
Subject: ocsinventory + ModSecurity + logcheck

Le problème est qu'ocsinventory m'envoie sans doute quelques trames
imparfaites qui me donnent à chaque fois un log du type :


[...]
J'aimerais supprimer ce genre de remontés qui constituent 90% des
remontées de logcheck.
3 pistes :

agir au niveau d'ocsinventory-agent sur chaque poste client pour que les
trames soient bien configurées/acceptées. Me semble difficile à mettre
en oeuvre.



Ce serait la meilleure solution à mon avis. S'il s'agit réellement d'un problème,
il faut au moins rapporter le bug.

Agir au niveau des règles de ModSecurity :
modsecurity_crs_15_user_rules.conf ?
ou celui de modsecurity/modsecurity_crs_21_protocol_anomalies.conf en
virant la règle qui agit ici ? mais je ne veux pas trop toucher mes
règles de base.



Non, car en cas de problème similaire en dehors d'oscinventory,
tu n'auras plus la remontée d'information.

Agir au niveau de logcheck



C'est la solution la plus aisée, que je qualifierais de "temporaire", en attendant
la correction d'oscinventory-agent.

/etc/logcheck/ignore.d.server/<local-rules> ou
/etc/logcheck/violations.ignore.d
??



Tout dépend de ce qui te fait remonter ces informations. Par expérience, c'est très
généralement dans ignore.d.server/
Personnellement, je créé un fichier unique fichier local dans lequel je mets toutes
mes exceptions.

S'il ne s'agit pas d'un réel problème dans oscinventory-agent, tu peux également
soumettre un patch pour logcheck-database en proposant ta regex.

@+
Julien

--
Julien Valroff http://www.kirya.net
GPG key: 4096R/290D20C5
092F 4CB5 5F19 E006 1CFD B489 D32B 8D66 290D 20C5

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Jean-Paul Lacharme
Le #22488591
....
> Agir au niveau de logcheck

C'est la solution la plus aisée, que je qualifierais de "temporaire", en attendant
la correction d'oscinventory-agent.

> /etc/logcheck/ignore.d.server/<local-rules> ou
> /etc/logcheck/violations.ignore.d
> ??

Tout dépend de ce qui te fait remonter ces informations. Par expérience, c'est très
généralement dans ignore.d.server/
Personnellement, je créé un fichier unique fichier local dans lequel je mets toutes
mes exceptions.



C'est la solution que j'ai essayé de mettre en oeuvre
j'ai trouvé la bonne regexp qui definit le log a supprimer dans le
rapport de logcheck

je l'ai testé par un
egrep -f regexp /var/log/apache2/error.log ... il est OK
j'ai mis ce regexp dans un
/etc/logcheck/ignore.d.server/local-rules
dont j'ai fait un lien
ln -s /etc/logcheck/ignore.d.server/local-rules local-rules
dans
/etc/logcheck/violations.ignore.d
vérifié les droits ..
...
mais ça ne marche pas.
je me retrouve toujours avec le même rapport..

--
Julien Valroff http://www.kirya.net
GPG key: 4096R/290D20C5
092F 4CB5 5F19 E006 1CFD B489 D32B 8D66 290D 20C5




--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Julien Valroff
Le #22488851
Le vendredi 20 août 2010 à 10:38 +0200, Jean-Paul Lacharme a écrit :
.....
> > Agir au niveau de logcheck
>
> C'est la solution la plus aisée, que je qualifierais de "temporaire", en attendant
> la correction d'oscinventory-agent.
>
> > /etc/logcheck/ignore.d.server/<local-rules> ou
> > /etc/logcheck/violations.ignore.d
> > ??
>
> Tout dépend de ce qui te fait remonter ces informations. Par expérience, c'est très
> généralement dans ignore.d.server/
> Personnellement, je créé un fichier unique fichier local dans lequel je mets toutes
> mes exceptions.

C'est la solution que j'ai essayé de mettre en oeuvre
j'ai trouvé la bonne regexp qui definit le log a supprimer dans le
rapport de logcheck

je l'ai testé par un
egrep -f regexp /var/log/apache2/error.log ... il est OK



Il faut tester avec :
sed -e 's/[[:space:]]*$//' /var/log/syslog | egrep "<regex>"

Pour autant que je sache, logcheck ne vérifie pas les logs apache.

@+
Julien

--
Julien Valroff http://www.kirya.net
GPG key: 4096R/290D20C5
092F 4CB5 5F19 E006 1CFD B489 D32B 8D66 290D 20C5

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Publicité
Poster une réponse
Anonyme