<p dir="ltr">I would suggest people who need a syslogd to use syslogd. Specifically, rsyslog, which can also output to the journal using the 'omjournal' module, (besides the aforementioned normalization features).</p>

<p dir="ltr">-- <br>
Mantas Mikulėnas <<a href="mailto:grawity@gmail.com">grawity@gmail.com</a>></p>
<div class="gmail_quote">On Jun 1, 2014 8:26 AM, "Lennart Poettering" <<a href="mailto:lennart@poettering.net">lennart@poettering.net</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
On Wed, 28.05.14 22:30, Lubomir Rintel (<a href="mailto:lkundrak@v3.sk">lkundrak@v3.sk</a>) wrote:<br>
<br>
> This is fairly simple, yet useful with netconsole. Remote socket address is not<br>
> used to obtain hostname, it would be easy to fake it via UDP anyway, which is<br>
> probably not desirable. If clients wish, they should identify themselves via<br>
> identifier field in syslog packets.<br>
><br>
> Disabled by default.<br>
<br>
Humm, I am really cool about this one... There are two problems: journald<br>
is highly priviliged because it must be able to read meta-data from<br>
/proc for all processes, and exposing such a process onto the network<br>
makes me feel very uncomfortable. So far our network-facing services<br>
either ran without any priviliges at all (such as<br>
systemd-journal-gatewayd), or with only the absolutely minimum they<br>
needed (such as timesyncd which only possesses CAP_SYS_TIME). But doing<br>
the same with journald is intensly hard since it needs all kinds of<br>
super powerful capabilities (such as CAP_SYS_PTRACE) for what it needs<br>
to do, because /proc is so weird in many ways..<br>
<br>
I mean, I have recently changed the virtualization detection code, so<br>
that it can run with no capabilities at all, which should prepare us for<br>
changing networkd to run as normal user and only require the various<br>
CAP_NET_* caps, but no CAP_SYS_PTRACE or suchlike, which would make it<br>
quite a step up security-wise from NM and thelike. So, in many ways we<br>
are busy with limiting our attack surface and running things with fewer<br>
priviliges, but opening journald up to the internet would really be a<br>
step in the other direction here.<br>
<br>
The other big problem I see is that of normalization. syslog messages<br>
are very free-form, and there's very little general structure<br>
applied. As long as focus on only local messages (and that means glibc<br>
as sender), we can work around that this, as we know what format the<br>
client precisely chose. However, if we open this up to the Internet,<br>
then we suddenly have to deal with all kinds of formats, from all the<br>
router harwdare and whatnot that exists. Much of the complexity of<br>
rsyslog and suchlike stems from the fact that they try to normalize the<br>
myriad of formats. And I'm really not so keen on getting into that<br>
game...<br>
<br>
I'd be more open to this if this at least could be an independent little<br>
daemon (akin to systemd-journald-gatewayd) that runs at minimal<br>
priviliges. That would fix my major concern #1...<br>
<br>
Also, if we do this, then I'd prefer doing this for any number of udp<br>
sockets, not just one...<br>
<br>
Lennart<br>
<br>
--<br>
Lennart Poettering, Red Hat<br>
_______________________________________________<br>
systemd-devel mailing list<br>
<a href="mailto:systemd-devel@lists.freedesktop.org">systemd-devel@lists.freedesktop.org</a><br>
<a href="http://lists.freedesktop.org/mailman/listinfo/systemd-devel" target="_blank">http://lists.freedesktop.org/mailman/listinfo/systemd-devel</a><br>
</blockquote></div>