คุณผู้อ่าน... ท่านที่เคารพ
วันก่อนได้แนะนำให้ encryption log ของ EFW เพื่อให้มีความน่าเชื่อถือไปแล้ว วันนี้มาดูอีกวิธีหนึ่ง ซึ่งใกล้กับความเป็นจริงในการเก็บ log ของ EFW มากที่สุด
เหตุผลนั้นหรือ?
1. EFW ใช้ logrotae ในการเก็บ log แต่ละวัน
2. Log ถูกบีบอัดด้วย gzip ไว้ที่ /var/log/archives
3. Log ใน archives นี่แหละที่ถูกเรียกมาดูย้อนหลังใน GUI
ดังนั้นเราจะเก็บไฟล์ log.gz ต่าง ๆ ใน /var/log/archives นี่แหละเอาไปเข้ารหัส ทำการ hasing และจัดเก็บไว้ในที่ปลอดภัย
อย่างไร?
ศึกษาและทำความเข้าใจไฟล์เหล่านี้
1. ไฟล์ /etc/logrotate.conf เก็บ grobal option สำหรับ เรียกใช้จาก application ต่าง ๆ
โดยแต่ละ application จะมี option เฉพาะอีกใน /etc/logrotate.d/
2. คำสั่ง logrotate เพื่อใช้งานบางส่วน
- logrotate -d /etc/logrotate.conf
ไว้สำหรับดูรายละเอียดที่กำหนดเป็น option ไว้ใน appliction ต่าง ๆ
- logrotate -f /etc/logrotate.conf
เมื่อกำหนดค่าใหม่ ๆ ให้กับ logrotate ไม่ว่าจะเป็น global option หรือ application option สั่งให้ logrotate ทำงานใหม่
3. Option ที่ควรทำความรู้จักเอาไว้
rotate
daily,weekly,monthly
notifempty
compress
delaycompress
missingok
create
lastaction
endscrip
4. เข้ารหัสไฟล์ gz จะต้องใช้คำสั่ง
$TAR cvzf - $PROXYLOG | $OPENSSL des3 -salt -k keyfile$TODAYDATE | $DD of=$PROXYLOG-des
เมื่อ
$TAR = /bin/tar
$PROXYLOG = /var/log/archives/squid/access.log-$TODAYDATE.gz
$OPENSSL = /usr/bin/openssl
$TODAYDATE=`date +%Y%m%d`
$DD=/bin/dd
5. เขียน script encryption เหล่านี้ใน file squid /etc/logrotate.d/ ระหว่าง lastaction และ endscript
ทางที่ดีในบรรทัดสุดท้ายควรจะเขียนคำสั่งส่งเมล์แจ้ง admin เพื่อทราบด้วยจะดูดีทีเดียว
วันก่อนได้แนะนำให้ encryption log ของ EFW เพื่อให้มีความน่าเชื่อถือไปแล้ว วันนี้มาดูอีกวิธีหนึ่ง ซึ่งใกล้กับความเป็นจริงในการเก็บ log ของ EFW มากที่สุด
เหตุผลนั้นหรือ?
1. EFW ใช้ logrotae ในการเก็บ log แต่ละวัน
2. Log ถูกบีบอัดด้วย gzip ไว้ที่ /var/log/archives
3. Log ใน archives นี่แหละที่ถูกเรียกมาดูย้อนหลังใน GUI
ดังนั้นเราจะเก็บไฟล์ log.gz ต่าง ๆ ใน /var/log/archives นี่แหละเอาไปเข้ารหัส ทำการ hasing และจัดเก็บไว้ในที่ปลอดภัย
อย่างไร?
ศึกษาและทำความเข้าใจไฟล์เหล่านี้
1. ไฟล์ /etc/logrotate.conf เก็บ grobal option สำหรับ เรียกใช้จาก application ต่าง ๆ
โดยแต่ละ application จะมี option เฉพาะอีกใน /etc/logrotate.d/
2. คำสั่ง logrotate เพื่อใช้งานบางส่วน
- logrotate -d /etc/logrotate.conf
ไว้สำหรับดูรายละเอียดที่กำหนดเป็น option ไว้ใน appliction ต่าง ๆ
- logrotate -f /etc/logrotate.conf
เมื่อกำหนดค่าใหม่ ๆ ให้กับ logrotate ไม่ว่าจะเป็น global option หรือ application option สั่งให้ logrotate ทำงานใหม่
3. Option ที่ควรทำความรู้จักเอาไว้
rotate
daily,weekly,monthly
notifempty
compress
delaycompress
missingok
create
lastaction
endscrip
4. เข้ารหัสไฟล์ gz จะต้องใช้คำสั่ง
$TAR cvzf - $PROXYLOG | $OPENSSL des3 -salt -k keyfile$TODAYDATE | $DD of=$PROXYLOG-des
เมื่อ
$TAR = /bin/tar
$PROXYLOG = /var/log/archives/squid/access.log-$TODAYDATE.gz
$OPENSSL = /usr/bin/openssl
$TODAYDATE=`date +%Y%m%d`
$DD=/bin/dd
5. เขียน script encryption เหล่านี้ใน file squid /etc/logrotate.d/ ระหว่าง lastaction และ endscript
ทางที่ดีในบรรทัดสุดท้ายควรจะเขียนคำสั่งส่งเมล์แจ้ง admin เพื่อทราบด้วยจะดูดีทีเดียว
6. สร้างไดเรกทอรี /var/log90days/logencryption และ /var/log90days/loginfo โดย
- เก็บไฟล์ encryption ไว้ที่ logencryption ให้เก็บใส่ CD 1 แผ่น และ
- เก็บไฟล์ loginfo ไว้ที่ loginfo ให้เก็บใส่ CD 1 แผ่น
ใครได้แผ่นใดแผ่นหนึ่งไป ก็ใช้ไม่ได้ เพราะตอนถอดรหัส มันต้องใช้คุ่กัน ดูซับซ้อน ซ่อนเงื่อนดี (อิอิ)
7. การส่งเมล์ด้วยคำสั่ง mail command ใน EFW มี error บ้างในไฟล์ /var/log/maillog
warning: unable to look up public/puckup
ให้แก้ด้วยคำสั่งนี้ mkfifo /var/spool/postfix/public/pickup
8. ครั้นแล้วก็จะส่งเมล์ไม่ออกอีก ต้องกำหนดค่าให้กับ smart host ใน EFW ตาม mail ISP ที่คุณใช้ หรือจะเลี่ยงไปใช้ relay mail เจ้าอื่นแทนก็ได้
สรุปจากขั้นตอนเหล่านี้จะทำให้เราได้ log ที่น่าเชื่อถือมากที่สุด โดยให้ logrotate เป็นตัวจัดการให้พร้อมกับการจัดเก็บ log ของระบบไปด้วยกันเลย ทั้งยังได้รับ mail บอกสถานะการ backup ในแต่ละวันอีกด้วย
สุดท้ายแล้วจัดเก็บ Log เป็น 2 CD เพื่อใช้ถอดรหัสคู่กัน อีกด้วย ถึงขนาดนี้ถ้ายังมีข้อโต้แย้งอีก... ก็ต้องใช้ขั้นมารกันแล้ว
เป็นไงครับทานก๊วยเตี๊ยวแห้งๆไม่มีน้ำซุป ฝืดคอดีไหม.. เหมือนกับท่านอ่านบทความของผมวันนี้แหละ เอาแต่ "เนื้อ" ไปเลยไม่ต้องมีน้ำ...
คราวหน้าผมจะมาเติมน้ำซุป โดยใส่รายละเอียดวิธีแต่ละข้อให้อีกรอบ
คอยติดตามครับ....
เอวัง......
0 comments:
Post a Comment