1 |
On Mon, 16 Jul 2012 21:28:09 +0400
|
2 |
Sergey Popov <admin@××××××××.ru> wrote:
|
3 |
|
4 |
> ИМХО, 100% гарантией неизменности логов в подобном случае может быть |
5 |
> только их отправка на другую машину, желательно не по UDP. Тогда |
6 |
> злоумышленник, имеющий root-доступ к скомпрометированному серверу не |
7 |
> сможет изменить те логи, что уже были отправлены на удаленную машину |
8 |
|
9 |
Даже в этом случае гарантий не будет. Если ротация логов происходи по
|
10 |
превышении размера файлов, то взломщик может зафлудить сервер
|
11 |
логирования и спровоцировать удаление "старых" лог-файлов, ускорив их
|
12 |
ротацию.
|
13 |
|
14 |
Если syslog на исходном сервере не выполняет аутентификацию локального
|
15 |
отправителя по uid, логи можно подделать ещё до полной компрометации
|
16 |
системы, получив привилегии обычного пользователя, и практически
|
17 |
похоронить в дебрях ранних подложных сообщений все ценные подлинные,
|
18 |
даже если ротация лог-файлов недеструктивна.
|
19 |
|
20 |
Мораль: сервер логирования должен сохранять логи как можно дольше и
|
21 |
больше, а сервер-источник должен производить аутентификацию
|
22 |
локальных отправителей логов по uid.
|
23 |
|
24 |
Сейчас в portage нет syslog-демона с поддержкой аутентификации
|
25 |
пользовательских сообщений, но он есть в Openwall, откуда его можно
|
26 |
портировать.
|
27 |
|
28 |
А вообще, для эффективного обнаружения взлома по логам можно с помощью
|
29 |
RBAC/MAC/audit настроить "ловушки", которые в ответ на отдельные
|
30 |
аномалии будут порождать сообщения (с аутентификацией по источкнику -
|
31 |
kmsg) по заранее известному шаблону, реакция на которые должна быть
|
32 |
запрограммирована локально и/или удалённо. |