|
|||||||
|
|
|
 |
|
|
Strumenti |
18-02-2012, 17:13
|
#1 |
|
Senior Member
Iscritto dal: Jan 2006
Messaggi: 1525
|
Log di sistema ingombranti
Recentemente mi sono accorto che su una macchina debian squeeze amd64 i 3 file di log kern.log messages syslog hanno raggiunto dimensioni enormi:
Codice:
/var/log# du -sh * 24K alternatives.log 4,0K alternatives.log.1 4,0K alternatives.log.2.gz 4,0K alternatives.log.3.gz 4,0K alternatives.log.4.gz 4,0K alternatives.log.5.gz 4,0K alternatives.log.6.gz 8,0K alternatives.log.7.gz 12K apcupsd.events 4,0K apcupsd.status 480K apt 96K aptitude 4,0K aptitude.1.gz 4,0K aptitude.2.gz 4,0K aptitude.3.gz 4,0K aptitude.4.gz 4,0K aptitude.5.gz 4,0K aptitude.6.gz 4,0K arno-iptables-firewall 444K auth.log 36K auth.log.1 4,0K auth.log.2.gz 4,0K auth.log.3.gz 4,0K auth.log.4.gz 4,0K boot 4,0K btmp 0 btmp.1 4,8M clamav 640K ConsoleKit 272K cups 1,3M daemon.log 4,0K daemon.log.1 4,0K daemon.log.2.gz 4,0K daemon.log.3.gz 4,0K daemon.log.4.gz 2,0M debug 4,0K debug.1 8,0K debug.2.gz 4,0K debug.3.gz 4,0K debug.4.gz 60K dmesg 56K dmesg.0 16K dmesg.1.gz 16K dmesg.2.gz 16K dmesg.3.gz 16K dmesg.4.gz 636K dpkg.log 32K dpkg.log.1 4,0K dpkg.log.2.gz 12K dpkg.log.3.gz 12K dpkg.log.4.gz 12K dpkg.log.5.gz 24K dpkg.log.6.gz 124K dpkg.log.7.gz 972K exim4 8,0K faillog 4,0K fontconfig.log 12K fsck 11M installer 15M kdm.log 128K kdm.log.1 4,0K kdm.log.2.gz 4,0K kdm.log.3.gz 4,0K kdm.log.4.gz 4,0K kdm.log.5.gz 4,0K kdm.log.6.gz 4,0K kdm.log.7.gz 4,3G kern.log 84M kern.log.1 11M kern.log.2.gz 17M kern.log.3.gz 18M kern.log.4.gz 12K lastlog 0 lpr.log 0 mail.err 0 mail.info 0 mail.log 0 mail.warn 4,3G messages 84M messages.1 11M messages.2.gz 17M messages.3.gz 18M messages.4.gz 4,0K news 28K nvidia-installer.log 8,0K pm-powersave.log 4,0K pm-powersave.log.1 4,0K pm-powersave.log.2.gz 4,0K pm-powersave.log.3.gz 4,0K pm-powersave.log.4.gz 0 pycentral.log 4,2G syslog 15M syslog.1 1,9M syslog.2.gz 2,1M syslog.3.gz 1,3M syslog.4.gz 2,2M syslog.5.gz 1,2M syslog.6.gz 2,2M syslog.7.gz 1,3M user.log 4,0K user.log.1 4,0K user.log.2.gz 4,0K user.log.3.gz 4,0K user.log.4.gz 1,4M wtmp 44K wtmp.1 16K Xorg.0.log 16K Xorg.0.log.old EDIT: dando un'occhiata in tutti e 3 i file di log ho visto che una serie di voci vengono aggiunte ogni pochi secondi, roba del tipo: Codice:
Jul 16 17:08:25 Ufficio02 kernel: [35133.781073] DROPPED IN= OUT=eth1 SRC=10.0.0.3 DST=79.30.25.34 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=4074 DF PROTO=TCP SPT=2254 DPT=37075 SEQ=876599163 ACK=0 WINDOW=5840 RES=0x00 SYN URGP=0 OPT (020405B40101040201030307) Jul 16 17:08:26 Ufficio02 kernel: [35134.760582] DROPPED IN=eth1 OUT= MAC=00:50:8d:9f:5c:38:00:08:27:45:93:b5:08:00 SRC=2.225.90.247 DST=10.0.0.3 LEN=58 TOS=0x00 PREC=0x00 TTL=109 ID=27912 PROTO=UDP SPT=44166 DPT=29361 LEN=38 Jul 16 17:08:27 Ufficio02 kernel: [35135.783900] DROPPED IN=eth1 OUT= MAC=00:50:8d:9f:5c:38:00:08:27:45:93:b5:08:00 SRC=94.75.255.91 DST=10.0.0.3 LEN=58 TOS=0x00 PREC=0x00 TTL=117 ID=6814 PROTO=UDP SPT=14254 DPT=29361 LEN=38 Jul 16 17:08:28 Ufficio02 kernel: [35136.805289] DROPPED IN= OUT=eth1 SRC=10.0.0.3 DST=95.250.145.50 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=51073 DF PROTO=TCP SPT=5400 DPT=24473 SEQ=1014638307 ACK=0 WINDOW=5840 RES=0x00 SYN URGP=0 OPT (020405B40101040201030307) Jul 16 17:08:29 Ufficio02 kernel: [35137.810259] DROPPED IN= OUT=eth1 SRC=10.0.0.3 DST=93.146.147.172 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=10545 DF PROTO=TCP SPT=3308 DPT=50928 SEQ=1088932989 ACK=0 WINDOW=5840 RES=0x00 SYN URGP=0 OPT (020405B40101040201030307) Jul 16 17:08:30 Ufficio02 kernel: [35138.603004] DROPPED IN=eth1 OUT= MAC=00:50:8d:9f:5c:38:00:08:27:45:93:b5:08:00 SRC=87.1.158.78 DST=10.0.0.3 LEN=58 TOS=0x00 PREC=0x00 TTL=117 ID=40352 PROTO=UDP SPT=20043 DPT=29361 LEN=38 Jul 16 17:08:32 Ufficio02 kernel: [35140.421575] DROPPED IN=eth1 OUT= MAC=00:50:8d:9f:5c:38:00:08:27:45:93:b5:08:00 SRC=87.30.164.189 DST=10.0.0.3 LEN=58 TOS=0x00 PREC=0x00 TTL=117 ID=50400 PROTO=UDP SPT=55464 DPT=29361 LEN=38 
__________________
-)(- debian -)(- Ultima modifica di psimem : 18-02-2012 alle 17:21. |
|
|
|
18-02-2012, 17:39
|
#2 |
|
Senior Member
Iscritto dal: Apr 2004
Messaggi: 9516
|
cavolo....
4,3G kern.log ... 4,3G messages 4,2G syslog ho letto bene? gigabyte? hai attivo il firewall, no? |
|
|
|
|
18-02-2012, 17:52
|
#3 |
|
Senior Member
Iscritto dal: Jan 2006
Messaggi: 1525
|
Gia' gia' proprio GB.
Il firewall e' attivo e configurato con guarddog. Che cavolo sta succedendo?
__________________
-)(- debian -)(- |
|
|
|
|
18-02-2012, 18:35
|
#4 |
|
Senior Member
Iscritto dal: Feb 2002
Messaggi: 2511
|
Hint: usa ncdu per controllare le dimensini dei file.
Hai la scheda di rete che perde pacchetti: prova a fare: ifconfig eth1 e vedere quanti dropped hai: Codice:
eth0 Link encap:Ethernet HWaddr 00:13:8f:d1:57:4f
inet addr:192.168.0.1 Bcast:192.168.0.255 Mask:255.255.255.0
inet6 addr: fe80::213:8fff:fed1:574f/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:3082719 errors:0 dropped:0 overruns:0 frame:0
Se ti sta bene comunque ci sara' modo di dire a syslog di evitare di loggare dato problema, oppure fai uno script con cron che periodicamente ti azzera i log (cat /dev/null > file_di_log). Ma hai la scheda che perde pacchetti. |
|
|
|
|
18-02-2012, 18:43
|
#5 |
|
Senior Member
Iscritto dal: Jan 2006
Messaggi: 1525
|
Codice:
eth1 Link encap:Ethernet HWaddr 00:50:8d:9f:5c:38
inet addr:10.0.0.2 Bcast:10.0.0.7 Mask:255.255.255.248
inet6 addr: fe80::250:8dff:fe9f:5c38/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:669476 errors:0 dropped:0 overruns:0 frame:0
TX packets:530323 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:720747948 (687.3 MiB) TX bytes:70823456 (67.5 MiB)
Interrupt:32 Base address:0xe000
Mi sembra di vedere che non c'e' perdita di pacchetti.
__________________
-)(- debian -)(- |
|
|
|
|
18-02-2012, 19:24
|
#6 |
|
Senior Member
![L'Avatar di Gimli[2BV!2B]](customavatars/avatar128392_3.gif){kind=avatar}
Iscritto dal: Feb 2006
Città: Parma
Messaggi: 3010
|
Controlla le impostazioni del firewall, ricordo che è possibile far in modo che ogni pacchetto bloccato venga segnalato nei log.
Può essere molto utile per controllare ciò che succede (solitamente solo per finalità di "debug"), ma genera una quantità impressionante di dati se c'è molto traffico. Purtroppo dalla tua lista dei file di log mancano le date quindi non ho modo di capire se la rotazione è in funzione. Spesso capita che si vada un po' in lungo disattivando dei demoni per alleggerire il sistema: cron ed anacron sono attivi e funzionanti? La rotazione dei log è gestita da logrotate (anche questo dev'essere ovviamente installato) che utilizza cronjob quotidiani per svolgere il suo lavoro.
__________________
~Breve riferimento ai comandi GNU/Linux (ormai non molto breve...) |
|
|
|
|
18-02-2012, 20:12
|
#7 | |
|
Senior Member
Iscritto dal: Feb 2002
Messaggi: 2511
|
Quote:
 come detto da altri sara' il firewall o il livello di logging. |
|
|
|
|
|
19-02-2012, 10:26
|
#8 | |
|
Senior Member
Iscritto dal: Jan 2006
Messaggi: 1525
|
Quote:
Pre quanto riguarda le date dei file di log: Codice:
/var/log# ls -hl totale 311M -rw-r--r-- 1 root root 19K 4 feb 16.44 alternatives.log -rw-r--r-- 1 root root 448 21 giu 2011 alternatives.log.1 -rw-r--r-- 1 root root 211 2 mag 2011 alternatives.log.2.gz -rw-r--r-- 1 root root 544 23 apr 2011 alternatives.log.3.gz -rw-r--r-- 1 root root 660 26 mar 2011 alternatives.log.4.gz -rw-r--r-- 1 root root 558 15 feb 2011 alternatives.log.5.gz -rw-r--r-- 1 root root 1,4K 30 gen 2011 alternatives.log.6.gz -rw-r--r-- 1 root root 4,2K 30 dic 2010 alternatives.log.7.gz -rw-r--r-- 1 root root 8,6K 18 feb 17.47 apcupsd.events -rw-r--r-- 1 root root 1,1K 19 feb 10.15 apcupsd.status drwxr-xr-x 2 root root 4,0K 1 lug 2011 apt -rw-r--r-- 1 root root 90K 18 feb 18.39 aptitude -rw-r--r-- 1 root root 1,5K 27 giu 2011 aptitude.1.gz -rw-r--r-- 1 root root 608 25 mag 2011 aptitude.2.gz -rw-r--r-- 1 root root 2,0K 27 apr 2011 aptitude.3.gz -rw-r--r-- 1 root root 1,9K 31 mar 2011 aptitude.4.gz -rw-r--r-- 1 root root 2,6K 28 feb 2011 aptitude.5.gz -rw-r--r-- 1 root root 4,0K 30 gen 2011 aptitude.6.gz -rw-r--r-- 1 root root 1,2K 1 feb 08.29 arno-iptables-firewall -rw-r----- 1 root adm 443K 19 feb 10.14 auth.log -rw-r----- 1 root adm 29K 10 lug 2011 auth.log.1 -rw-r----- 1 root adm 2,9K 5 lug 2011 auth.log.2.gz -rw-r----- 1 root adm 2,5K 26 giu 2011 auth.log.3.gz -rw-r----- 1 root adm 2,5K 19 giu 2011 auth.log.4.gz -rw-r----- 1 root adm 31 13 ott 2010 boot -rw-rw---- 1 root utmp 768 1 feb 08.14 btmp -rw-rw---- 1 root utmp 0 1 giu 2011 btmp.1 drwxr-xr-x 2 clamav clamav 4,0K 10 lug 2011 clamav drwxr-xr-x 2 root root 4,0K 1 lug 2011 ConsoleKit drwxr-xr-x 2 root lpadmin 4,0K 16 lug 2011 cups -rw-r----- 1 root adm 1,3M 18 feb 19.07 daemon.log -rw-r----- 1 root adm 3,9K 9 lug 2011 daemon.log.1 -rw-r----- 1 root adm 2,7K 4 lug 2011 daemon.log.2.gz -rw-r----- 1 root adm 461 25 giu 2011 daemon.log.3.gz -rw-r----- 1 root adm 534 18 giu 2011 daemon.log.4.gz -rw-r----- 1 root adm 2,0M 18 feb 17.47 debug -rw-r----- 1 root adm 2,5K 9 lug 2011 debug.1 -rw-r----- 1 root adm 4,1K 4 lug 2011 debug.2.gz -rw-r----- 1 root adm 948 26 giu 2011 debug.3.gz -rw-r----- 1 root adm 606 18 giu 2011 debug.4.gz -rw-r----- 1 root adm 55K 18 feb 17.47 dmesg -rw-r----- 1 root adm 57K 16 feb 13.58 dmesg.0 -rw-r----- 1 root adm 15K 1 feb 08.30 dmesg.1.gz -rw-r----- 1 root adm 15K 1 feb 08.22 dmesg.2.gz -rw-r----- 1 root adm 15K 1 feb 08.12 dmesg.3.gz -rw-r----- 1 root adm 15K 21 gen 18.36 dmesg.4.gz -rw-r--r-- 1 root root 630K 18 feb 18.39 dpkg.log -rw-r--r-- 1 root root 26K 27 giu 2011 dpkg.log.1 -rw-r--r-- 1 root root 1,8K 25 mag 2011 dpkg.log.2.gz -rw-r--r-- 1 root root 12K 27 apr 2011 dpkg.log.3.gz -rw-r--r-- 1 root root 9,8K 31 mar 2011 dpkg.log.4.gz -rw-r--r-- 1 root root 11K 28 feb 2011 dpkg.log.5.gz -rw-r--r-- 1 root root 22K 30 gen 2011 dpkg.log.6.gz -rw-r--r-- 1 root root 122K 31 dic 2010 dpkg.log.7.gz drwxr-s--- 2 Debian-exim adm 4,0K 16 lug 2011 exim4 -rw-r--r-- 1 root root 32K 9 feb 11.05 faillog -rw-r--r-- 1 root root 1,7K 23 apr 2011 fontconfig.log drwxr-xr-x 2 root root 4,0K 13 ott 2010 fsck drwxr-xr-x 3 root root 4,0K 13 ott 2010 installer -rw-r--r-- 1 root root 15M 18 feb 17.47 kdm.log -rw-r--r-- 1 root root 126K 16 lug 2011 kdm.log.1 -rw-r--r-- 1 root root 1,6K 15 lug 2011 kdm.log.2.gz -rw-r--r-- 1 root root 1,9K 14 lug 2011 kdm.log.3.gz -rw-r--r-- 1 root root 361 13 lug 2011 kdm.log.4.gz -rw-r--r-- 1 root root 281 12 lug 2011 kdm.log.5.gz -rw-r--r-- 1 root root 3,3K 11 lug 2011 kdm.log.6.gz -rw-r--r-- 1 root root 577 10 lug 2011 kdm.log.7.gz -rw-r--r-- 1 root root 3,1M 19 feb 10.15 kern.log -rw-r----- 1 root adm 84M 10 lug 2011 kern.log.1 -rw-r----- 1 root adm 11M 5 lug 2011 kern.log.2.gz -rw-r----- 1 root adm 17M 26 giu 2011 kern.log.3.gz -rw-r----- 1 root adm 18M 19 giu 2011 kern.log.4.gz -rw-rw-r-- 1 root utmp 286K 9 feb 11.05 lastlog -rw-r----- 1 root adm 0 13 ott 2010 lpr.log -rw-r----- 1 root adm 0 13 ott 2010 mail.err -rw-r----- 1 root adm 0 13 ott 2010 mail.info -rw-r----- 1 root adm 0 13 ott 2010 mail.log -rw-r----- 1 root adm 0 13 ott 2010 mail.warn -rw-r----- 1 root adm 3,0M 19 feb 10.15 messages -rw-r----- 1 root adm 84M 10 lug 2011 messages.1 -rw-r----- 1 root adm 11M 5 lug 2011 messages.2.gz -rw-r----- 1 root adm 17M 26 giu 2011 messages.3.gz -rw-r----- 1 root adm 18M 19 giu 2011 messages.4.gz drwxr-xr-x 2 root root 4,0K 13 ott 2010 news -rw-r--r-- 1 root root 25K 1 feb 08.27 nvidia-installer.log -rw-r--r-- 1 root root 7,9K 18 feb 17.47 pm-powersave.log -rw-r--r-- 1 root root 86 27 giu 2011 pm-powersave.log.1 -rw-r--r-- 1 root root 97 25 mag 2011 pm-powersave.log.2.gz -rw-r--r-- 1 root root 106 30 apr 2011 pm-powersave.log.3.gz -rw-r--r-- 1 root root 104 26 mar 2011 pm-powersave.log.4.gz -rw-r--r-- 1 root root 0 13 ott 2010 pycentral.log -rw-r----- 1 root adm 3,0M 19 feb 10.15 syslog -rw-r----- 1 root adm 15M 16 lug 2011 syslog.1 -rw-r----- 1 root adm 1,9M 15 lug 2011 syslog.2.gz -rw-r----- 1 root adm 2,1M 14 lug 2011 syslog.3.gz -rw-r----- 1 root adm 1,3M 13 lug 2011 syslog.4.gz -rw-r----- 1 root adm 2,2M 12 lug 2011 syslog.5.gz -rw-r----- 1 root adm 1,2M 11 lug 2011 syslog.6.gz -rw-r----- 1 root adm 2,2M 10 lug 2011 syslog.7.gz -rw-r----- 1 root adm 1,3M 18 feb 17.45 user.log -rw-r----- 1 root adm 3,7K 8 lug 2011 user.log.1 -rw-r----- 1 root adm 835 1 lug 2011 user.log.2.gz -rw-r----- 1 root adm 776 25 mag 2011 user.log.3.gz -rw-r----- 1 root adm 107 2 mag 2011 user.log.4.gz -rw-rw-r-- 1 root utmp 1,5M 18 feb 17.47 wtmp -rw-rw-r-- 1 root utmp 40K 30 giu 2011 wtmp.1 -rw-r--r-- 1 root root 14K 18 feb 17.47 Xorg.0.log -rw-r--r-- 1 root root 14K 18 feb 17.45 Xorg.0.log.old Inoltre cron, anacron e logrotate sono installati, ma da dove posso capire se sono in funzione o meno? EDIT: Questa ottima guida mi ha chiarito le idee, quindi ho controllato: - in /etc/cron.daily c'e' il file logrotate contenente: Codice:
#!/bin/sh test -x /usr/sbin/logrotate || exit 0 /usr/sbin/logrotate /etc/logrotate.conf Codice:
# see "man logrotate" for details
# rotate log files weekly
weekly
# keep 4 weeks worth of backlogs
rotate 4
# create new (empty) log files after rotating old ones
create
# uncomment this if you want your log files compressed
compress
# packages drop log rotation information into this directory
include /etc/logrotate.d
# no packages own wtmp, or btmp -- we'll rotate them here
/var/log/wtmp {
missingok
monthly
create 0664 root utmp
rotate 1
}
/var/log/btmp {
missingok
monthly
create 0660 root utmp
rotate 1
}
# system-specific logs may be configured here
Codice:
/var/log/syslog
{
rotate 7
daily
missingok
notifempty
delaycompress
compress
postrotate
invoke-rc.d rsyslog reload > /dev/null
endscript
}
/var/log/mail.info
/var/log/mail.warn
/var/log/mail.err
/var/log/mail.log
/var/log/daemon.log
/var/log/kern.log
/var/log/auth.log
/var/log/user.log
/var/log/lpr.log
/var/log/cron.log
/var/log/debug
/var/log/messages
{
rotate 4
weekly
missingok
notifempty
compress
delaycompress
sharedscripts
postrotate
invoke-rc.d rsyslog reload > /dev/null
endscript
}
__________________
-)(- debian -)(- Ultima modifica di psimem : 19-02-2012 alle 10:51. |
|
|
|
|
|
19-02-2012, 10:28
|
#9 | |
|
Senior Member
Iscritto dal: Jan 2006
Messaggi: 1525
|
Quote:
Per livello di logging ti riferisci sempre al firewall?
__________________
-)(- debian -)(- |
|
|
|
|
|
19-02-2012, 14:23
|
#10 |
|
Senior Member
Iscritto dal: Feb 2006
Città: Parma
Messaggi: 3010
|
Vedo che hai troncato i log mostruosi: si riempiono ancora delle righe che avevi riportato?
cron ed anacron sono demoni classici, sono attivi se sono presenti link ai loro script init nei vari folder /etc/rcN.d/ In particolare nel mio caso: Codice:
root@kwankey:~# ls -la /etc/rc2.d/*cron* lrwxrwxrwx 1 root root 17 nov 4 21:08 /etc/rc2.d/S03anacron -> ../init.d/anacron lrwxrwxrwx 1 root root 14 nov 4 21:08 /etc/rc2.d/S03cron -> ../init.d/cron Codice:
insserv -r cron insserv cron insserv -r anacron insserv anacron Per finire qui puoi leggere una buona pagina che introduce al logging in iptables. Controlla se vedi regole di logging attive con Codice:
iptables -nvL
__________________
~Breve riferimento ai comandi GNU/Linux (ormai non molto breve...) |
|
|
|
|
19-02-2012, 19:54
|
#11 | |
|
Senior Member
Iscritto dal: Feb 2002
Messaggi: 2511
|
Quote:
Cosi' ad occhio hai il livello di sensibilita' / prolissita' del kernel un po' alto, magari prova a mettere in /etc/sysctl.conf : Codice:
kernel.printk = 3 4 1 3 - http://www.de-brauwer.be/wiki/wikka.php?wakka=printk - http://linux.die.net/man/8/klogd Questo se non hai nello script del firewall qualche precisia chiamata a loggare quei drop di pacchetti. Ultima modifica di eaman : 19-02-2012 alle 20:00. |
|
|
|
|
|
20-02-2012, 18:44
|
#12 | |
|
Senior Member
Iscritto dal: Jan 2006
Messaggi: 1525
|
Quote:
:Codice:
ls -la /etc/rc2.d/*cron* lrwxrwxrwx 1 root root 17 16 lug 2011 /etc/rc2.d/S18anacron -> ../init.d/anacron lrwxrwxrwx 1 root root 14 13 ago 2011 /etc/rc2.d/S19cron -> ../init.d/cron Codice:
# iptables -nvL
Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
519 29960 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- eth0 * 192.168.0.1 192.168.0.255
0 0 ACCEPT all -- eth1 * 10.0.0.2 10.0.0.7
38029 1567K logaborted tcp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED tcp flags:0x04/0x04
33M 29G ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
1494 86571 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 3
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 11
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 12
2348K 198M nicfilt all -- * * 0.0.0.0/0 0.0.0.0/0
2348K 198M srcfilt all -- * * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
20304 11M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 3
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 11
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 12
283 17234 srcfilt all -- * * 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
519 29960 ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
30M 4333M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 3
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 11
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 12
361K 31M s1 all -- * * 0.0.0.0/0 0.0.0.0/0
Chain f0to1 (5 references)
pkts bytes target prot opt in out source destination
919K 47M ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:29361 state NEW
1020K 126M ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpts:29362:29363
403K 24M logdrop all -- * * 0.0.0.0/0 0.0.0.0/0
Chain f0to2 (1 references)
pkts bytes target prot opt in out source destination
0 0 logdrop all -- * * 0.0.0.0/0 0.0.0.0/0
Chain f0to3 (1 references)
pkts bytes target prot opt in out source destination
0 0 logdrop all -- * * 0.0.0.0/0 0.0.0.0/0
Chain f1to0 (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 state NEW
10253 695K ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:53
5676 295K ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spts:1024:5999 dpt:80 state NEW
241 12532 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spts:1024:5999 dpt:8080 state NEW
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spts:1024:5999 dpt:8008 state NEW
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spts:1024:5999 dpt:8000 state NEW
120 6240 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spts:1024:5999 dpt:8888 state NEW
3 156 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spts:1024:5999 dpt:993 state NEW
30 1560 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spts:1024:5999 dpt:110 state NEW
248 12896 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spts:1024:5999 dpt:443 state NEW
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spts:1024:5999 dpt:21 state NEW
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:123
1 52 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spts:1024:5999 dpt:465 state NEW
306 15912 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:29361 state NEW
165K 8593K ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpts:1:60000 state NEW
1474 190K ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpts:29362:29363
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spts:1024:5999 dpt:25 state NEW
177K 21M logdrop all -- * * 0.0.0.0/0 0.0.0.0/0
Chain f1to2 (1 references)
pkts bytes target prot opt in out source destination
4 208 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:631 state NEW
9 468 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:111 state NEW
4 336 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:111
15 780 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpts:1024:65535 state NEW
8 544 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:2049 state NEW
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:2049
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5900 state NEW
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:631
0 0 logdrop all -- * * 0.0.0.0/0 0.0.0.0/0
Chain f1to3 (1 references)
pkts bytes target prot opt in out source destination
0 0 logdrop all -- * * 0.0.0.0/0 0.0.0.0/0
Chain f2to0 (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 state NEW
206 12814 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:53
51 3060 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spts:1024:65535 dpt:80 state NEW
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spts:1024:65535 dpt:8080 state NEW
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spts:1024:65535 dpt:8008 state NEW
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spts:1024:65535 dpt:8000 state NEW
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spts:1024:65535 dpt:8888 state NEW
1 60 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spts:1024:65535 dpt:993 state NEW
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spts:1024:65535 dpt:21 state NEW
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spts:1024:65535 dpt:110 state NEW
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spts:1024:65535 dpt:443 state NEW
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:123
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spts:1024:65535 dpt:465 state NEW
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spts:1024:65535 dpt:25 state NEW
977 125K logdrop all -- * * 0.0.0.0/0 0.0.0.0/0
Chain f2to1 (5 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:631 state NEW
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:111 state NEW
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:111
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpts:1024:5999 state NEW
5281 885K ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:2049 state NEW
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:2049
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5900 state NEW
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:631
0 0 logdrop all -- * * 0.0.0.0/0 0.0.0.0/0
Chain f2to3 (1 references)
pkts bytes target prot opt in out source destination
0 0 logdrop all -- * * 0.0.0.0/0 0.0.0.0/0
Chain f3to0 (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 state NEW
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:53
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spts:1024:65535 dpt:80 state NEW
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spts:1024:65535 dpt:8080 state NEW
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spts:1024:65535 dpt:8008 state NEW
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spts:1024:65535 dpt:8000 state NEW
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spts:1024:65535 dpt:8888 state NEW
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spts:1024:65535 dpt:993 state NEW
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spts:1024:65535 dpt:110 state NEW
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spts:1024:65535 dpt:21 state NEW
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spts:1024:65535 dpt:443 state NEW
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spts:1024:65535 dpt:465 state NEW
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spts:1024:65535 dpt:25 state NEW
0 0 logdrop all -- * * 0.0.0.0/0 0.0.0.0/0
Chain f3to1 (5 references)
pkts bytes target prot opt in out source destination
1 52 logdrop all -- * * 0.0.0.0/0 0.0.0.0/0
Chain f3to2 (1 references)
pkts bytes target prot opt in out source destination
0 0 logdrop all -- * * 0.0.0.0/0 0.0.0.0/0
Chain logaborted (1 references)
pkts bytes target prot opt in out source destination
37964 1565K logaborted2 all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 1/sec burst 10
14 560 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 2/min burst 1 LOG flags 0 level 4 prefix `LIMITED '
Chain logaborted2 (1 references)
pkts bytes target prot opt in out source destination
37964 1565K LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 7 level 4 prefix `ABORTED '
37964 1565K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
Chain logdrop (14 references)
pkts bytes target prot opt in out source destination
582K 46M logdrop2 all -- * * 0.0.0.0/0 0.0.0.0/0
Chain logdrop2 (1 references)
pkts bytes target prot opt in out source destination
582K 46M DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain logreject (0 references)
pkts bytes target prot opt in out source destination
0 0 logreject2 all -- * * 0.0.0.0/0 0.0.0.0/0
Chain logreject2 (1 references)
pkts bytes target prot opt in out source destination
0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 reject-with tcp-reset
0 0 REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain nicfilt (1 references)
pkts bytes target prot opt in out source destination
6233 1008K RETURN all -- eth0 * 0.0.0.0/0 0.0.0.0/0
0 0 RETURN all -- eth0 * 0.0.0.0/0 0.0.0.0/0
2342K 197M RETURN all -- eth1 * 0.0.0.0/0 0.0.0.0/0
0 0 RETURN all -- eth1 * 0.0.0.0/0 0.0.0.0/0
0 0 RETURN all -- lo * 0.0.0.0/0 0.0.0.0/0
0 0 logdrop all -- * * 0.0.0.0/0 0.0.0.0/0
Chain s0 (1 references)
pkts bytes target prot opt in out source destination
0 0 f0to1 all -- * * 0.0.0.0/0 192.168.0.1
0 0 f0to1 all -- * * 0.0.0.0/0 192.168.0.255
2342K 197M f0to1 all -- * * 0.0.0.0/0 10.0.0.2
0 0 f0to1 all -- * * 0.0.0.0/0 10.0.0.7
0 0 f0to1 all -- * * 0.0.0.0/0 127.0.0.1
0 0 f0to2 all -- * * 0.0.0.0/0 192.168.0.0/24
0 0 f0to3 all -- * * 0.0.0.0/0 192.168.1.0/24
0 0 logdrop all -- * * 0.0.0.0/0 0.0.0.0/0
Chain s1 (1 references)
pkts bytes target prot opt in out source destination
40 2336 f1to2 all -- * * 0.0.0.0/0 192.168.0.0/24
0 0 f1to3 all -- * * 0.0.0.0/0 192.168.1.0/24
361K 31M f1to0 all -- * * 0.0.0.0/0 0.0.0.0/0
Chain s2 (1 references)
pkts bytes target prot opt in out source destination
0 0 f2to1 all -- * * 0.0.0.0/0 192.168.0.1
5281 885K f2to1 all -- * * 0.0.0.0/0 192.168.0.255
0 0 f2to1 all -- * * 0.0.0.0/0 10.0.0.2
0 0 f2to1 all -- * * 0.0.0.0/0 10.0.0.7
0 0 f2to1 all -- * * 0.0.0.0/0 127.0.0.1
0 0 f2to3 all -- * * 0.0.0.0/0 192.168.1.0/24
1235 141K f2to0 all -- * * 0.0.0.0/0 0.0.0.0/0
Chain s3 (1 references)
pkts bytes target prot opt in out source destination
0 0 f3to1 all -- * * 0.0.0.0/0 192.168.0.1
0 0 f3to1 all -- * * 0.0.0.0/0 192.168.0.255
1 52 f3to1 all -- * * 0.0.0.0/0 10.0.0.2
0 0 f3to1 all -- * * 0.0.0.0/0 10.0.0.7
0 0 f3to1 all -- * * 0.0.0.0/0 127.0.0.1
0 0 f3to2 all -- * * 0.0.0.0/0 192.168.0.0/24
0 0 f3to0 all -- * * 0.0.0.0/0 0.0.0.0/0
Chain srcfilt (2 references)
pkts bytes target prot opt in out source destination
6516 1025K s2 all -- * * 192.168.0.0/24 0.0.0.0/0
1 52 s3 all -- * * 192.168.1.0/24 0.0.0.0/0
2342K 197M s0 all -- * * 0.0.0.0/0 0.0.0.0/0
__________________
-)(- debian -)(- |
|
|
|
|
|
20-02-2012, 18:48
|
#13 | |
|
Senior Member
Iscritto dal: Jan 2006
Messaggi: 1525
|
Quote:
Codice:
# Uncomment the following to stop low-level messages on console kernel.printk = 3 4 1 3 In merito al firewall ho disabilitato tutto il possibile da guarddog, ma come da post appena sopra forse non basta  .
__________________
-)(- debian -)(- |
|
|
|
|
|
20-02-2012, 20:48
|
#14 |
|
Senior Member
Iscritto dal: Feb 2006
Città: Parma
Messaggi: 3010
|
Queste due catene scrivono log:
Codice:
Chain logaborted (1 references) pkts bytes target prot opt in out source destination 37964 1565K logaborted2 all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 1/sec burst 10 14 560 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 2/min burst 1 LOG flags 0 level 4 prefix `LIMITED ' Chain logaborted2 (1 references) pkts bytes target prot opt in out source destination 37964 1565K LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 7 level 4 prefix `ABORTED ' 37964 1565K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED Vedendo il punto in cui è inserita logaborted mi sembra di capire che sta registrando tutti i pacchetti in ingresso di connessioni già stabilite che vengono resettate con flag RST (0x04): Codice:
Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
519 29960 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- eth0 * 192.168.0.1 192.168.0.255
0 0 ACCEPT all -- eth1 * 10.0.0.2 10.0.0.7
38029 1567K logaborted tcp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED tcp flags:0x04/0x04
[...]
Tornando a cron ed anacron, i tuoi numeri di avvio sono molto più alti dei miei, ma ci può stare. cron compare tra i processi in esecuzione? (anacron viene eseguito una tantum al boot, non ci avevo mai badato). Non è che hai qualcosa di storto in uno dei vari crontab che si possono impostare? Ah, poi cron manda via mail eventuali output/errori dei comandi eseguiti: controlla all'interno della cartella /var/mail/ (potrebbe essere cresciuti a dismisura anche i file di posta). Controlla anche /var/log/cron.log e fratelli.
__________________
~Breve riferimento ai comandi GNU/Linux (ormai non molto breve...) |
|
|
|
|
20-02-2012, 21:25
|
#15 | |
|
Senior Member
Iscritto dal: Feb 2002
Messaggi: 2511
|
Quote:
 Codice:
sysctl -p che prevedono il loggin' di determinati eventi, quindi non e' un problema di sysctl Il problema e' che hai generato delle catene di regole per il tuo firewall (tramite guarddog) senza che tu ne sia neanche al corrente, oltre anon sapere cosa fanno: questo mina alla base il motivo per cui si monta un firewall. Io ti consiglierei un buon tutorial su iptables / netfilter, almeno quanto basta da poter intervenire (come suggerisce Gimli) sullo script generato da Guardog. |
|
|
|
|
|
21-02-2012, 07:34
|
#16 | |
|
Senior Member
Iscritto dal: Jan 2006
Messaggi: 1525
|
Quote:
__________________
-)(- debian -)(- |
|
|
|
|
|
21-02-2012, 07:45
|
#17 | |
|
Senior Member
Iscritto dal: Jan 2006
Messaggi: 1525
|
Quote:
__________________
-)(- debian -)(- |
|
|
|
|
possibile? Per gli altri crontab li controllero' per vedere se trovo qualcosa di fuori posto.|
21-02-2012, 20:50
|
#18 | ||
|
Senior Member
Iscritto dal: Feb 2006
Città: Parma
Messaggi: 3010
|
Quote:
Quote:
Controllando il file di configurazione di quel logger ho visto che il log della facility cron è disattivato: Codice:
[...] ############### #### RULES #### ############### # # First some standard log files. Log by facility. # auth,authpriv.* /var/log/auth.log *.*;auth,authpriv.none -/var/log/syslog #cron.* /var/log/cron.log daemon.* -/var/log/daemon.log kern.* -/var/log/kern.log lpr.* -/var/log/lpr.log mail.* -/var/log/mail.log user.* -/var/log/user.log [...]
__________________
~Breve riferimento ai comandi GNU/Linux (ormai non molto breve...) |
||
|
|
|
|
03-03-2012, 15:37
|
#19 |
|
Senior Member
Iscritto dal: Jan 2006
Messaggi: 1525
|
Allora, dopo varie prove e controlli adesso logrotate sembra funzionare correttamente ed il livello di log dei messaggi pure sembra essere tornato nella norma
 .Ringrazio ancora una volata eaman, gimli e sacarde .
__________________
-)(- debian -)(- |
|
|
|
|
03-03-2012, 21:05
|
#20 | |
|
Senior Member
Iscritto dal: Feb 2002
Messaggi: 2511
|
Quote:
...ma il grosso dello sbattimento lo hanno fatto gli altri, quindi complimenti a loro e buone cose a te
|
|
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 10:44.
