| 1 |
On Mon, 16 Jul 2012 21:28:09 +0400
|
| 2 |
Sergey Popov <admin@××××××××.ru> wrote:
|
| 3 |
|
| 4 |
> ИМХО, 100% гарантией неизменности логов в подобном случае может быть |
| 5 |
> только их отправка на другую машину, желательно не по UDP. Тогда |
| 6 |
> злоумышленник, имеющий root-доступ к скомпрометированному серверу не |
| 7 |
> сможет изменить те логи, что уже были отправлены на удаленную машину |
| 8 |
|
| 9 |
Даже в этом случае гарантий не будет. Если ротация логов происходи по
|
| 10 |
превышении размера файлов, то взломщик может зафлудить сервер
|
| 11 |
логирования и спровоцировать удаление "старых" лог-файлов, ускорив их
|
| 12 |
ротацию.
|
| 13 |
|
| 14 |
Если syslog на исходном сервере не выполняет аутентификацию локального
|
| 15 |
отправителя по uid, логи можно подделать ещё до полной компрометации
|
| 16 |
системы, получив привилегии обычного пользователя, и практически
|
| 17 |
похоронить в дебрях ранних подложных сообщений все ценные подлинные,
|
| 18 |
даже если ротация лог-файлов недеструктивна.
|
| 19 |
|
| 20 |
Мораль: сервер логирования должен сохранять логи как можно дольше и
|
| 21 |
больше, а сервер-источник должен производить аутентификацию
|
| 22 |
локальных отправителей логов по uid.
|
| 23 |
|
| 24 |
Сейчас в portage нет syslog-демона с поддержкой аутентификации
|
| 25 |
пользовательских сообщений, но он есть в Openwall, откуда его можно
|
| 26 |
портировать.
|
| 27 |
|
| 28 |
А вообще, для эффективного обнаружения взлома по логам можно с помощью
|
| 29 |
RBAC/MAC/audit настроить "ловушки", которые в ответ на отдельные
|
| 30 |
аномалии будут порождать сообщения (с аутентификацией по источкнику -
|
| 31 |
kmsg) по заранее известному шаблону, реакция на которые должна быть
|
| 32 |
запрограммирована локально и/или удалённо. |
Archives