DFN-CERT

Druckversion

[previous] [up] [next]

Previous: Konfiguration der Application-Proxies
Up: Implementation eines Firewalls
Next: Installation und Konfiguration von Tripwire

Konfiguration zur automatischen Überwachung des Firewalls

Ein Firewall muß im Betrieb täglich überwacht werden. Mit Hilfe von syslog, der Account-ing-Scripts des TIS-Toolkits und des Integrity-Checkers tripwire können diese Routinearbeiten weitgehend automatisiert werden.

Konfiguration der Datei /etc/syslog.conf

Die fwtk-Proxies loggen unter der facility daemon.notice und sendmail unter mail.notify. Die Meldungen dieser Dienste werden nach /var/log/messages geleitet.

Die Datei /etc/syslog.conf wird folgendermaßen konfiguriert:

#
# syslog configuration file.
#
*.err;kern.debug;auth.notice;user.none                  /dev/console
*.err;kern.debug;auth.notice;user.none                  @loghost
*.err;kern.debug;auth.notice;mail.crit;user.none        /var/adm/messages

# sendmail and fwtk-proxies
mail.info                               /var/log/messages
daemon.notice                           /var/log/messages
Anschließend muß die Datei /var/log/messages erzeugt und dem Prozeß syslogd ein Signal gesendet werden:
# touch /var/log/messages
# kill -HUP `cat /etc/syslog.pid`
  Zur weiteren Automatisierung des Auditing kann das perl-Programm swatch verwendet werden [21][22].

Konfiguration der Datei /var/spool/cron/crontabs/root

Diese crontab-Steuerdatei sollte folgendermaßen konfiguriert werden (die Folgezeilen wurden hier der besseren Übersichtlichkeit wegen eingefügt, sie sind in der Originaldatei nicht erlaubt):

5 3 * * * /usr/local/bin/logrotate.sh >/dev/null 2>&1
5 4 * * * /tripwire/tripwire | /usr/ucb/mail -s \ 
               "tripwire daily-report" fw_admin@secure.zone.de
5 5 * * * /usr/local/bin/daily-report.sh | /usr/ucb/mail -s \
                   "fwtk daily-report" fw_admin@secure.zone.de
5 6 * * 1 /usr/local/bin/weekly-report.sh | /usr/ucb/mail -s \
                  "fwtk weekly-report" fw_admin@secure.zone.de
Das Script logrotate.sh ist an das Systemscript /usr/lib/newsyslog angelehnt (siehe Appendix A.10).

Logrotate.sh erzeugt für jeden Wochentag eine eigene Datei. Die älteste Datei wird an eine summary-Datei angehängt. Um die Dateien /var/log/summary und /var/adm/summary nicht ins Unendliche Anwachsen zu lassen, sollten sie einmal im Monat auf ein Band geschrieben und zurückgesetzt werden.

 

  DFN-CERT  > Sicherheit im DFN  > DFN-Berichte von DFN-CERT und DFN-PCA  > Publikationen : DFN-Bericht Nr. 78  > Implementation eines Firewalls  > Konfiguration zur automatischen Überwachung des Firewalls
DFN-CERT - Zentrum für sichere Netzdienste GmbH
E-Mail info@dfn-cert.de -- Web http://www.dfn-cert.de/
Letzte Änderung dieser Seite: 14.11.2002