| 1 |
-----BEGIN PGP SIGNED MESSAGE----- |
| 2 |
Hash: SHA256 |
| 3 |
|
| 4 |
Pavel Labushev <pavel.labushev@××××××.no> написал(а): |
| 5 |
|
| 6 |
>On Mon, 16 Jul 2012 21:28:09 +0400 |
| 7 |
>Sergey Popov <admin@××××××××.ru> wrote: |
| 8 |
> |
| 9 |
>> ИМХО, 100% гарантией неизменности логов в подобном случае может быть |
| 10 |
>> только их отправка на другую машину, желательно не по UDP. Тогда |
| 11 |
>> злоумышленник, имеющий root-доступ к скомпрометированному серверу не |
| 12 |
>> сможет изменить те логи, что уже были отправлены на удаленную машину |
| 13 |
> |
| 14 |
>Даже в этом случае гарантий не будет. Если ротация логов происходи по |
| 15 |
>превышении размера файлов, то взломщик может зафлудить сервер |
| 16 |
>логирования и спровоцировать удаление "старых" лог-файлов, ускорив их |
| 17 |
>ротацию. |
| 18 |
> |
| 19 |
>Если syslog на исходном сервере не выполняет аутентификацию локального |
| 20 |
>отправителя по uid, логи можно подделать ещё до полной компрометации |
| 21 |
>системы, получив привилегии обычного пользователя, и практически |
| 22 |
>похоронить в дебрях ранних подложных сообщений все ценные подлинные, |
| 23 |
>даже если ротация лог-файлов недеструктивна. |
| 24 |
> |
| 25 |
>Мораль: сервер логирования должен сохранять логи как можно дольше и |
| 26 |
>больше, а сервер-источник должен производить аутентификацию |
| 27 |
>локальных отправителей логов по uid. |
| 28 |
> |
| 29 |
>Сейчас в portage нет syslog-демона с поддержкой аутентификации |
| 30 |
>пользовательских сообщений, но он есть в Openwall, откуда его можно |
| 31 |
>портировать. |
| 32 |
> |
| 33 |
>А вообще, для эффективного обнаружения взлома по логам можно с помощью |
| 34 |
>RBAC/MAC/audit настроить "ловушки", которые в ответ на отдельные |
| 35 |
>аномалии будут порождать сообщения (с аутентификацией по источкнику - |
| 36 |
>kmsg) по заранее известному шаблону, реакция на которые должна быть |
| 37 |
>запрограммирована локально и/или удалённо. |
| 38 |
|
| 39 |
Благодарю за столь развернутое пояснение. О возможности зафлудить сервер логирования я как-то и не подумал. Да, мандатная система контроля доступа выглядит в данном случае неплохим решением, но требует тщательнейшей настройки и тестирования |
| 40 |
-----BEGIN PGP SIGNATURE----- |
| 41 |
Version: APG v1.0.8 |
| 42 |
|
| 43 |
iQE+BAEBCAAoBQJQBG8DIRxTZXJnZXkgUG9wb3YgPGFkbWluQHBpbmtieXRlLnJ1 |
| 44 |
PgAKCRAqP2kXnfduu5G7B/4hUN+VwqngyOoLUG9mlvszMvDGC4p2beo776wxFZjO |
| 45 |
EtJwNOXRj0Z/skWv0RHbF+bsX/hzs7wF8C+BN+3KtcJp1bACznRGnUhMRa2WZIFY |
| 46 |
W6vsBhST5wjHjxvEKkpsAr+X1ebryv8cn6aOR2BcveL8EpLQsoKqEDycNcxYOjWU |
| 47 |
hvJlYuFxAo+mlLDpa7bEAWY2qBSSGKQ8pvqQmslw07Pt0N+8IZb30GprRXq489G6 |
| 48 |
iw+MnxsSyIZ8iWeadgYHZpJYCi6Vb/XQgF2IqT1prmfxm2uSaB/uSImR+XHCCsHS |
| 49 |
7jGrQJKt8ypL+oygQJxCWk7dDAwo+m+RK7woOzlpsMxt |
| 50 |
=aJmH |
| 51 |
-----END PGP SIGNATURE----- |
Archives