Bug 38584

Summary: nagwad vs osec: реализовать control-сприпт для переключения SEND_PIPE в /etc/osec/pipe.conf с почты на журнал и обратно
Product: Sisyphus Reporter: Vera Blagoveschenskaya <vercha>
Component: osec-cronjobAssignee: Alexey Gladkov <legion>
Status: CLOSED WORKSFORME QA Contact: qa-sisyphus
Severity: enhancement    
Priority: P5 CC: legion, manowar, sotor
Version: unstable   
Hardware: x86_64   
OS: Linux   

Description Vera Blagoveschenskaya 2020-06-05 15:15:53 MSK 
osec-cronjob-1.2.9-alt1.noarch
Тестовый стенд: workstation K RC5 x86_64

При тестировании плагинов nagwad обнаружилось, что osec.cron настроен по умолчанию на отправку писем администратору, а не на запись в системный журнал.

Из-за этого сообщения о нарушениях не отслеживаются плагином /usr/lib/nagios/plugins/check_osec 

--> фичереквест:
Реализовать control-сприпт для переключения SEND_PIPE в /etc/osec/pipe.conf с почты на журнал и обратно.
Comment 1 Alexey Gladkov 2020-06-05 16:08:37 MSK 
Пачти приветствуются.
Comment 2 Alexey Gladkov 2020-06-10 18:51:24 MSK 
Отчёт osec не однострочный и может быть очень объёмным.
Что вы хотите видеть в журнале ?
Весь отчёт по одной записи на каждый изменённый файл ?
Comment 3 manowar@altlinux.org 2020-06-10 22:09:51 MSK 
Сейчас в c8.1 используется вот такая команда:

MAIL_PIPE='systemd-cat -t osec;  echo "[osec${PROFILE:+:$PROFILE}] Daily security check ($STAT) -- $HOSTNAME" | tee /var/log/lastosec | systemd-cat -t osec'

(In reply to Alexey Gladkov from comment #2)
> Отчёт osec не однострочный и может быть очень объёмным.
Очень может быть, что это не совсем правильное решение.
Comment 4 Alexey Gladkov 2020-06-10 22:36:06 MSK 
(Ответ для manowar@altlinux.org на комментарий #3)
> Сейчас в c8.1 используется вот такая команда:
> 
> MAIL_PIPE='systemd-cat -t osec;  echo "[osec${PROFILE:+:$PROFILE}] Daily
> security check ($STAT) -- $HOSTNAME" | tee /var/log/lastosec | systemd-cat
> -t osec'

Ужас.

> (In reply to Alexey Gladkov from comment #2)
> > Отчёт osec не однострочный и может быть очень объёмным.
> Очень может быть, что это не совсем правильное решение.

Я вполне уверен, что правильное.
Comment 5 Alexey Gladkov 2020-06-15 13:38:43 MSK 
Я пока оставлю эту багу на память. Для работы с syslog нужно сделать свою версию REPORT_PIPE и SEND_PIPE, но сейчас я не готов их написать.
Comment 6 manowar@altlinux.org 2020-09-08 19:20:19 MSK 
Пока время шло, я сделал пакет https://packages.altlinux.org/en/sisyphus/srpms/osec-controls . Он наверняка настраивает не совсем правильный pipe, но в принципе это работает.
Comment 7 Alexey Gladkov 2020-09-08 19:31:07 MSK 
Ок. Раз есть решение, тогда закрываю.