Administro alguns servidores JBOSS que realizam o rotacionamento de logs sozinhos, porém eles não fazem a compressão dos arquivos de log. Como o próprio JBOSS cuida do rotacionamento, não encontrei um método de fazer o tratamento através do logrotate, como é feito normalmente. Ao invés disso, optei simplesmente por comprimir os arquivos.
Crie um arquivo com um nome sugestivo (ex: comprime_logs_jboss) dentro do diretório "/etc/cron.daily" com o seguinte conteúdo:
#!/bin/bash
#Fabiano Pires
#Caminho com os arquivos de log do JBOSS
CAMINHO="/opt/jboss-GA/server/default/log"
# Comprime arquivos server.log.*, exceto os que possuem a extensao ".gz"
find ${CAMINHO} \( -name 'server.log.*' -a -not -name '*.gz' \) | xargs gzip -9
Esse comando find enconrtra todos os arquivos server.log rotacionados (os meus ficam no padrão server.log.ANO-MES-DIA (ex: server.log.2011-11-29), exceto os que possuem a extensão ".gz" (que já foram comprimidos) e os envia para compressão com o comando gzip.
Ajuste a variável CAMINHO para apontar para o local onde ficam os arquivos de log do seu JBOSS. E não se esqueça de tornar o arquivo executável, com o comando chmod a+x comprime_logs_jboss.
Sistemas de arquivo em Linux embarcado
O Sérgio Prado publicou em seu site (http://sergioprado.org) dois artigos sobre sistemas de arquivos. Embora o artigo (assim como o próprio site) seja voltado para Sistemas Linux Embarcados, os artigos fazem uma boa cobertura sobre diversos sistemas de arquivos, além de tratar sobre assuntos como journaling, memórias flash e mais. Vale a leitura tanto para o iniciante em Linux como para o administrador experiente.
Links:
Parte 1: http://sergioprado.org/2012/02/22/sistemas-de-arquivo-em-linux-embarcado-parte-1/
Parte 2: http://sergioprado.org/2012/03/04/sistemas-de-arquivo-em-linux-embarcado-parte-2/
P.S.: Não sabe o que é Linux Embarcado? Basicamente são computadores com processadores ARM (semelhantes aos dos celulares), porém pequenos em tamanho e consumo de energia. Normalmente são voltados para aplicações específicas. Para maiores informações, vale dar uma olhadinha nesses sites:
Mini2440 (US$ 90,00)
http://www.evertonfreitas.com/?p=60
BeagleBoard (US$ 130,00)
http://beagleboard.org/hardware
BifferBoard, uma placa com processador x86 (US$ 50,00)
http://bifferos.co.uk/
Raspberry Pi, do tamanho de um cartão de crédito (US$ 25,00 - Aceito um de presente ;-) )
http://www.raspberrypi.org/
Links:
Parte 1: http://sergioprado.org/2012/02/22/sistemas-de-arquivo-em-linux-embarcado-parte-1/
Parte 2: http://sergioprado.org/2012/03/04/sistemas-de-arquivo-em-linux-embarcado-parte-2/
P.S.: Não sabe o que é Linux Embarcado? Basicamente são computadores com processadores ARM (semelhantes aos dos celulares), porém pequenos em tamanho e consumo de energia. Normalmente são voltados para aplicações específicas. Para maiores informações, vale dar uma olhadinha nesses sites:
Mini2440 (US$ 90,00)
http://www.evertonfreitas.com/?p=60
BeagleBoard (US$ 130,00)
http://beagleboard.org/hardware
BifferBoard, uma placa com processador x86 (US$ 50,00)
http://bifferos.co.uk/
Raspberry Pi, do tamanho de um cartão de crédito (US$ 25,00 - Aceito um de presente ;-) )
http://www.raspberrypi.org/
Firewall Linux - iptables - Parte 2
Conceitos: Tabelas, Chains, Targets e Política Padrão.
Tabelas:
No iptables, o tratamento dos pacotes é realizado em tabelas. Cada tabela realiza basicamente um tipo operação nos pacotes, conforme vemos a seguir:
1) Tabela filter: Filtragem de pacotes (quem pode acessar o quê, e sob quais condições)
2) Tabela nat: Modificações nos endereços e/ou portas de origem e de destino dos pacotes.
3) Tabela mangle: Alterações avançadas no pacote: inserção de marcas (tags), alteração da prioridade do pacote na "fila" de envio da placa de rede, etc (não vai ser coberta aqui.)
Chains (cadeias, no sentido de correntes ou fluxos):
São contêineres para as regras. O iptables vem com um grupo padrão de chains em cada tabela, e os usuários podem criar chains adicionais, para facilitar a gerência das regras. As chains padrão são (nem todas as tabelas possuem todas as chains):
INPUT: trata os pacotes que estão entrando na máquina e não vão sair, ou seja, o destino final do pacote é a própria máquina firewall.
OUTPUT: trata dos pacotes que foram criados na própria máquina e vão sair dela.
FORWARD: trata os pacotes que atravessam a máquina (entram por uma placa de rede e saem por outra. Ex: pacotes com origem na rede local com destino à Internet ou vice-versa).
PREROUTING: trata os pacotes antes (PRE) da decisão de roteamento (ROUTING). É utilizada para alterar o DESTINO dos pacotes (DNAT) na tabela nat.
POSTROUTING: trata os pacotes após (POST) a decisão de roteamento (ROUTING). É utilizada para alterar a ORIGEM dos pacotes (SNAT) na tabela nat.
Observação: o nome das chains padrão sempre é em letras maiusculas.
Targets (ou alvos):
Define o que é feito com o pacote que combine com a regra. Alguns targets (os que fazem alterações nos pacotes) só podem ser utilizados na tabela NAT.
Observação: é possível a criação de regras sem target. Um pacote que combine com essas regras apenas incrementa a contagem de bytes e pacotes da regra (útil para contabilidade de pacotes.) Para visualizar a contagem de pacotes das
ACCEPT: Aceita os pacotes que batam com a descrição da regra
REJECT: Rejeita os pacotes que batam com a regra. É enviada uma mensagem de rejeição ao emissor do pacote.
DROP: Ignora os pacotes que batam com a regra. É semelhante ao REJECT, porém não é enviada nenhuma mensagem ao emissor.
RETURN: Cancela o processamento do pacote na chain atual e o envia de volta à chain onde estava anteriormente.
SNAT: Altera o campo de origem (source) do pacote IP, podendo alterar também a porta de origem.
DNAT: Altera o campo de destino (destination) do pacote IP, podendo alterar também a porta de destino.
REDIRECT: Faz um DNAT onde apenas a porta de destino pode ser escolhida. O endereço IP de destino sempre é o da própria máquina firewall. Utilizado para proxy tranparente.
MASQUERADE: Mascaramento de IP. Tipo especial de SNAT, utilizado principalmente para compartilhar conexões com IPs dinâmicos, como conexões dial-up (internet discada) e ADSL (Velox, por exemplo).
MARK: "Marca" o pacote com uma etiqueta, para processamento posterior (inclusive por outros programas que não o iptables). A "marca" existe apenas no próprio firewall (programas em outras máquinas não conseguem visualizar a marcação).
TCPMSS: Permite alterar o tamanho máximo do pacote, para solucionar (ou prevenir) problemas de transmissão de dados. Só pode ser utilizada com o protocolo TCP (opção -p tcp)
TOS: Permite alterar o campo TOS (Type Of Service) do cabeçalho IP.
QUEUE/NFQUEUE: Permite enviar o pacote para programas compilados com suporte a biblioteca libipq. Os programas podem manipular o pacote e devolvê-lo ao iptables.
LOG: Cria uma entrada de LOG do pacote que combina com a regra. A entrada é registrada através do SYSLOG. Após ser registrado no sistema de log, o pacote continua seguindo pela chain, para ser processado por outras regras.
ULOG: Uma mistura de QUEUE com LOG, onde o pacote é enviado para um programa para fins de LOG. Isso permite, por exemplo, logar pacotes em bancos de dados (como o MySQL) para facilitar a geração de relatórios.
Caso especial: nome de uma chain personalizada. Faz com que o pacote que bata com aquela regra seja redirecionado para uma chain personalizada (criada pelo usuário) para ser tratado pelas regras desta chain.
Policy (política padrão):
Por mais completas que sejam, suas regras de firewall nunca irão cobrir todas as possibilidades. Por isso, alteramos a POLICY (política padrão) da chain. Um pacote que atravesse toda uma CHAIN sem combinar com nenhuma REGRA é tratado pela POLICY padrão da chain. As POLICY são ACCEPT, REJECT e DROP, e têm o mesmo comportamento dos TARGETS definidos anteriormente. A POLICY padrão das CHAINS é ACCEPT (se um pacote não bater com nenhuma regra ele é aceito) Normalmente, coloca-se a política padrão de chains como INPUT e FORWARD como DROP. Com isso, tudo o que não for explícitamente liberado será bloqueado.
Firewall Linux - iptables - Parte 1
Introdução
Historia do Firewall Linux:
Kernel 2.0 (Jan/1999): ipfwadm
Kernel 2.2 (Dez/1999): ipchains, stateless, dependia de programas externos para realizar NAT
Kernel 2.4 (Jan/2001) e
Kernel 2.6 (Dez/2003): iptables, stateful, realiza nat independente de programas externos.
Statefull X Stateless:
Uma conexão normalmente é composta de diversos pacotes. O firewall statefull associa o primeiro pacote da conexão aos demais, e consegue distinguir qual a relação desse pacote com os demais (ex: se o pacote é de uma conexão nova (NEW) ou já estabelecida (ESTABLISHED), entre outros tipos). Isso facilita as regras e checagens, além de permitir maior controle sobre operações como geração de LOGs.
Iptables ou Netfilter?
Algumas vezes vemos escrito que o firewall do Linux é o iptables. Outras vezes, que é o netfilter. Afinal, qual o correto? Na verdade, ambas as definições estão corretas:
Netfilter é a tecnologia de firewall integrada ao kernel.
Iptables é a ferramenta (programa) que configura essa tecnologia.
Outras ferramentas:
O iptables é parte de uma "família" de ferramentas que configuram diferentes protocolos de rede:
iptables: protocolo IPv4.
ip6tables: protocolo IPv6.
arptables: protocolo ARP.
ebtables: protocolo ethernet (utilizado em bridges).
Assinar:
Postagens (Atom)