[ITNOG] RFC 6302 Logging Recommendations for Internet-Facing Servers
Marco d'Itri
md@Linux.IT
Ven 21 Ott 2011 17:03:35 CEST
On Oct 21, Scassellati Gianpaolo <Gianpaolo.Scassellati@Mail.Wind.it> wrote:
> In tale condizione, per essere in grado di identificare un utente sotto indagine, l'autorità inquirente non può più fare affidamento sul solo indirizzo IP (e timestamp), a cui corrisponde non uno ma una lista di utenti; ha quindi bisogno di informazioni aggiuntive come ad esempio il source port.
OK, l'importante è che continuino a credere che la gente farà il logging
così. :-)
> La domanda è questa: i server utilizzati ad oggi sono in grado di fare logging di IP/port/timestamp sulle connessioni in ingresso?
In linea di massima, no. Per esempio, ho fatto un veloce giro tra i mail
server e postfix, qmail e sendmail non fanno il logging della porta (e
con questo abbiamo coperto buona parte del mercato).
Nemmeno tcpd lo fa, e sono sicuro che se nella prossima release di
Debian lo modificassi per farlo gli utenti mi salterebbero alla gola per
avere rotto infinite applicazioni che analizzano i log.
--
ciao,
Marco
Maggiori informazioni sulla lista
itnog