suhosin 补丁专用文件日志

Posted 2023-02-22

【中文标题】suhosin 补丁专用文件日志

【英文标题】：suhosin patch dedicated file log

【发布时间】：2013-06-25 12:59:39

【问题描述】：

是否可以将 suhosin 补丁的日志从 syslog 移动到专用文件？

cron 每 5 分钟调用一次 Cacti，并尝试将内存限制设置为 -1 因此，每次调用 Cacti 时，系统日志中都会有 2 条消息。

ALERT - 脚本试图通过将 memory_limit 设置为负值 -1 字节来禁用它，这是不允许的（攻击者 'REMOTE_ADDR not set'，文件 'unknown'）

感谢您的帮助

【参考方案1】：

是的，您可以通过多种方式进行设置：

如果您想继续使用系统的系统日志：

有suhosin.log.syslog.facilityini设置，你可以选择 USER 设施之一，没有其他应用程序在您的设备上使用 系统。

大多数系统日志守护程序都有各种过滤功能来决定 应该发送消息的位置。你必须检查你的 系统正在运行，有很多流行的 syslog 守护进程是 rsyslog、dsyslog、syslog-ng。他们都有自己的 配置格式，但它们都应该能够基于过滤 在设施上。在大多数情况下，您还可以过滤程序名称或 将模式与日志消息本身匹配。

在 sysklogd、rsyslogd、dsyslog 样式的配置文件中，这看起来 比如匹配设施时：

local5.*     /var/log/suhoshin_alert.log 

或者在消息上使用正则表达式：

*.*     /var/log/suhoshin_alert.log
:msg, regex, "^ALERT -"

如果您只想忽略这些消息，可以使用~ 日志目标来丢弃消息。 （请注意您的规则匹配）

您可以使用自定义日志记录脚本

有一个suhosin.log.script.name 和suhosin.log.phpscript.name 配置选项。您可以使用它们指定一个脚本文件，一个 php 将信息作为变量，而另一个将其作为参数获取，您可以将消息记录到您选择的任何位置。

您还必须更改suhosin.log.script 或suhosin.log.phpscript 选项以指示应将哪种类型的消息发送到脚本，请参阅table here。

但是，听起来解决您的问题（允许更改内存限制，或不更改内存限制）会更好。