вторник, 28 февраля 2017 г.

rsyslog и шаблоны

Иногда нужен особый формат лога, и тут помогают шаблоны.
Писать их можно прямо в отдельном конфиге, например rsyslog.d/ourService.conf:
$template Short,"%timegenerated% serviceName[%PROCID%] %msg%\n"

local0.*                                                -/var/log/service.log;Short

четверг, 16 февраля 2017 г.

rsyslog: писать лог только в 1 файл, не трогая rsyslog.conf

Допустим, есть сервис, который мы хотим писать через syslog в отдельный файл, уровень local2, но чтобы он не засорял /var/log/syslog|/var/log/messages. Создадим /etc/rsyslog.d/sea с текстом local2.* /var/log/sea.log

2 варианта:
1) дописываем в любое место нашего файла
local2.none /var/log/messages
local2.none /var/log/syslog

2) дописываем сразу после правила
&~
(означает - если записали в этот файл, то дальше заканчиваем обработку строки, & это И, ~ это discard). Правил может быть несколько в файле, поэтому ставим именно после тех, где заканчиваем обработку строки.

UP
В свежих версиях в логе можно увидеть
rsyslogd-2307: warning: ~ action is deprecated, consider using the 'stop' statement instead [try http://www.rsyslog.com/e/2307 ]
Правда, по ссылке нет примеров применения и описания. Выглядеть это будет примерно так:
& stop
Но могут быть проблемы.

вторник, 14 февраля 2017 г.

Методы замены MAC-адреса

Временная смена


1) ifconfig
/etc/init.d/networking stop
ifconfig eth0 hw ether xx:xx:xx:xx:xx:xx
/etc/init.d/networking start

(как вариант, ifconfig down eth0, ... ifconfig up eth0)

2) ip link
(stop)
ip link set eth0 address xx:xx:xx:xx:xx:xx
(start)

3) macchanger
полностью случайный новый мак
macchanger -r eth0
с сохранением принадлежности к вендору
macchanger -e eth0

4) iptables
Не совсем понятна применимость, через nat. Третий линк.

Постоянная смена

1) через средства системы
centos:
/etc/sysconfig/network-scripts/ifcfg-ethN
MACADDR=...

debian и форки
/etc/network/interfaces
hwaddress ether ...

2) systemd-networkd
/etc/systemd/network/00-default.link
[Match]
MACAddress=постоянный MAC

[Link]
MACAddress=новый MAC
NamePolicy=kernel database onboard slot path

3) systemd-udevd
/etc/udev/rules.d/75-mac-spoof.rules
ACTION=="add", SUBSYSTEM=="net", ATTR{address}=="02:03:09:xx:xx:xx", RUN+="/usr/bin/ip link set dev %k address c8:0a:a9:xx:xx:xx"

4) юнит systemd
см первый линк, там варианты сервис файла, дёргающие ip link или macchanger

Линки

https://wiki.archlinux.org/index.php/MAC_address_spoofing_(%D0%A0%D1%83%D1%81%D1%81%D0%BA%D0%B8%D0%B9)
https://en.wikibooks.org/wiki/Changing_Your_MAC_Address/Linux
http://sandilands.info/sgordon/address-spoofing-with-iptables-in-linux