1 |
-----BEGIN PGP SIGNED MESSAGE----- |
2 |
Hash: SHA256 |
3 |
|
4 |
Pavel Labushev <pavel.labushev@××××××.no> написал(а): |
5 |
|
6 |
>On Mon, 16 Jul 2012 21:28:09 +0400 |
7 |
>Sergey Popov <admin@××××××××.ru> wrote: |
8 |
> |
9 |
>> ИМХО, 100% гарантией неизменности логов в подобном случае может быть |
10 |
>> только их отправка на другую машину, желательно не по UDP. Тогда |
11 |
>> злоумышленник, имеющий root-доступ к скомпрометированному серверу не |
12 |
>> сможет изменить те логи, что уже были отправлены на удаленную машину |
13 |
> |
14 |
>Даже в этом случае гарантий не будет. Если ротация логов происходи по |
15 |
>превышении размера файлов, то взломщик может зафлудить сервер |
16 |
>логирования и спровоцировать удаление "старых" лог-файлов, ускорив их |
17 |
>ротацию. |
18 |
> |
19 |
>Если syslog на исходном сервере не выполняет аутентификацию локального |
20 |
>отправителя по uid, логи можно подделать ещё до полной компрометации |
21 |
>системы, получив привилегии обычного пользователя, и практически |
22 |
>похоронить в дебрях ранних подложных сообщений все ценные подлинные, |
23 |
>даже если ротация лог-файлов недеструктивна. |
24 |
> |
25 |
>Мораль: сервер логирования должен сохранять логи как можно дольше и |
26 |
>больше, а сервер-источник должен производить аутентификацию |
27 |
>локальных отправителей логов по uid. |
28 |
> |
29 |
>Сейчас в portage нет syslog-демона с поддержкой аутентификации |
30 |
>пользовательских сообщений, но он есть в Openwall, откуда его можно |
31 |
>портировать. |
32 |
> |
33 |
>А вообще, для эффективного обнаружения взлома по логам можно с помощью |
34 |
>RBAC/MAC/audit настроить "ловушки", которые в ответ на отдельные |
35 |
>аномалии будут порождать сообщения (с аутентификацией по источкнику - |
36 |
>kmsg) по заранее известному шаблону, реакция на которые должна быть |
37 |
>запрограммирована локально и/или удалённо. |
38 |
|
39 |
Благодарю за столь развернутое пояснение. О возможности зафлудить сервер логирования я как-то и не подумал. Да, мандатная система контроля доступа выглядит в данном случае неплохим решением, но требует тщательнейшей настройки и тестирования |
40 |
-----BEGIN PGP SIGNATURE----- |
41 |
Version: APG v1.0.8 |
42 |
|
43 |
iQE+BAEBCAAoBQJQBG8DIRxTZXJnZXkgUG9wb3YgPGFkbWluQHBpbmtieXRlLnJ1 |
44 |
PgAKCRAqP2kXnfduu5G7B/4hUN+VwqngyOoLUG9mlvszMvDGC4p2beo776wxFZjO |
45 |
EtJwNOXRj0Z/skWv0RHbF+bsX/hzs7wF8C+BN+3KtcJp1bACznRGnUhMRa2WZIFY |
46 |
W6vsBhST5wjHjxvEKkpsAr+X1ebryv8cn6aOR2BcveL8EpLQsoKqEDycNcxYOjWU |
47 |
hvJlYuFxAo+mlLDpa7bEAWY2qBSSGKQ8pvqQmslw07Pt0N+8IZb30GprRXq489G6 |
48 |
iw+MnxsSyIZ8iWeadgYHZpJYCi6Vb/XQgF2IqT1prmfxm2uSaB/uSImR+XHCCsHS |
49 |
7jGrQJKt8ypL+oygQJxCWk7dDAwo+m+RK7woOzlpsMxt |
50 |
=aJmH |
51 |
-----END PGP SIGNATURE----- |