Анализ log'ов

classic Classic list List threaded Threaded
7 messages Options
Reply | Threaded
Open this post in threaded view
|

Анализ log'ов

Anton Ananich
Здравствуйте!

В Gentoo Security Handbook есть заметка про Logcheck:
http://www.gentoo.org/doc/en/security/security-handbook.xml?part=1&chap=3#doc_chap5

Меня интересует: если сервер взломали, то что мешает злоумышленникам
подчистить логи? Поскольку Logcheck отрабатывает 1 раз в сутки, то
вероятно администратор ничего и не заподозрит.

Значит ли это, что нужно обязательно использовать remote logging?

Если ли другие инструменты для просмотра логов и слежения за ними?

С уважением,
Антон
Reply | Threaded
Open this post in threaded view
|

Re: Анализ log'ов

Sergey Popov-3
16.07.2012 21:16, Anton Ananich пишет:

> Здравствуйте!
>
> В Gentoo Security Handbook есть заметка про Logcheck:
> http://www.gentoo.org/doc/en/security/security-handbook.xml?part=1&chap=3#doc_chap5
>
> Меня интересует: если сервер взломали, то что мешает злоумышленникам
> подчистить логи? Поскольку Logcheck отрабатывает 1 раз в сутки, то
> вероятно администратор ничего и не заподозрит.
>
> Значит ли это, что нужно обязательно использовать remote logging?
>
> Если ли другие инструменты для просмотра логов и слежения за ними?
>
> С уважением,
> Антон
ИМХО, 100% гарантией неизменности логов в подобном случае может быть
только их отправка на другую машину, желательно не по UDP. Тогда
злоумышленник, имеющий root-доступ к скомпрометированному серверу не
сможет изменить те логи, что уже были отправлены на удаленную машину


signature.asc (566 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Анализ log'ов

Edward Toroshchin
On Mon, Jul 16, 2012 at 09:28:09PM +0400, Sergey Popov wrote:
> желательно не по UDP

А что плохого в UDP?

--
Edward "Hades" Toroshchin
dr_lepper on irc.freenode.org

Reply | Threaded
Open this post in threaded view
|

Re: [gentoo-user-ru] Анализ log'ов

Sergey Popov-3
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

Edward Toroshchin <[hidden email]> написал(а):

>On Mon, Jul 16, 2012 at 09:28:09PM +0400, Sergey Popov wrote:
>> желательно не по UDP
>
>А что плохого в UDP?
>
>--
>Edward "Hades" Toroshchin
>dr_lepper on irc.freenode.org

Негарантированная доставка. Потенциально часть логов может не дойти, что не очень хорошо
-----BEGIN PGP SIGNATURE-----
Version: APG v1.0.8

iQE+BAEBCAAoBQJQBGdKIRxTZXJnZXkgUG9wb3YgPGFkbWluQHBpbmtieXRlLnJ1
PgAKCRAqP2kXnfduu2wHCACJAurRhzQomiNQH+yjRzTy9OVmHxGW8BiOKc7dvSEZ
SUWNxv3++y/ccaSy8lkgokCXuqil3Q8gr1mmEJGu7TNz/qP0cLkPkSdptVgyiwkm
lHqjuPed9h8eourBVgPCQ2E9EORvRnQ5p5YMj6YmhDnHIqlNsAeM+pbO3Qqzresi
YjQIzf88c1wBlqKQMGDZnhjBmUmAdIySIWdp4lu3DX5fOlKHheImKzaIslHimk7L
yAzg2076tJwf05qOKiLcvK63q0un/BRLo2WLCc7M+StN7GFsfZnlce1MAQs6C2q6
yBSwdFhqig3q3TRuez7z2oMPmrUgbtS4460pASDlzz8A
=H4rS
-----END PGP SIGNATURE-----


Reply | Threaded
Open this post in threaded view
|

Re: Анализ log'ов

Pavel Labushev-4
In reply to this post by Sergey Popov-3
On Mon, 16 Jul 2012 21:28:09 +0400
Sergey Popov <[hidden email]> wrote:

> ИМХО, 100% гарантией неизменности логов в подобном случае может быть
> только их отправка на другую машину, желательно не по UDP. Тогда
> злоумышленник, имеющий root-доступ к скомпрометированному серверу не
> сможет изменить те логи, что уже были отправлены на удаленную машину

Даже в этом случае гарантий не будет. Если ротация логов происходи по
превышении размера файлов, то взломщик может зафлудить сервер
логирования и спровоцировать удаление "старых" лог-файлов, ускорив их
ротацию.

Если syslog на исходном сервере не выполняет аутентификацию локального
отправителя по uid, логи можно подделать ещё до полной компрометации
системы, получив привилегии обычного пользователя, и практически
похоронить в дебрях ранних подложных сообщений все ценные подлинные,
даже если ротация лог-файлов недеструктивна.

Мораль: сервер логирования должен сохранять логи как можно дольше и
больше, а сервер-источник должен производить аутентификацию
локальных отправителей логов по uid.

Сейчас в portage нет syslog-демона с поддержкой аутентификации
пользовательских сообщений, но он есть в Openwall, откуда его можно
портировать.

А вообще, для эффективного обнаружения взлома по логам можно с помощью
RBAC/MAC/audit настроить "ловушки", которые в ответ на отдельные
аномалии будут порождать сообщения (с аутентификацией по источкнику -
kmsg) по заранее известному шаблону, реакция на которые должна быть
запрограммирована локально и/или удалённо.

attachment0 (853 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Re: [gentoo-user-ru] Анализ log'ов

Pavel Labushev-4
In reply to this post by Sergey Popov-3
On Mon, 16 Jul 2012 23:11:06 +0400
Sergey Popov <[hidden email]> wrote:

> >А что плохого в UDP?

> Негарантированная доставка. Потенциально часть логов может не дойти, что не очень хорошо

Кроме того, в "голом" UDP/syslog не обеспечивается аутентичность и
секретность трафика.

attachment0 (853 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: [gentoo-user-ru] Анализ log'ов

Sergey Popov-3
In reply to this post by Sergey Popov-3
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

Pavel Labushev <[hidden email]> написал(а):

>On Mon, 16 Jul 2012 21:28:09 +0400
>Sergey Popov <[hidden email]> wrote:
>
>> ИМХО, 100% гарантией неизменности логов в подобном случае может быть
>> только их отправка на другую машину, желательно не по UDP. Тогда
>> злоумышленник, имеющий root-доступ к скомпрометированному серверу не
>> сможет изменить те логи, что уже были отправлены на удаленную машину
>
>Даже в этом случае гарантий не будет. Если ротация логов происходи по
>превышении размера файлов, то взломщик может зафлудить сервер
>логирования и спровоцировать удаление "старых" лог-файлов, ускорив их
>ротацию.
>
>Если syslog на исходном сервере не выполняет аутентификацию локального
>отправителя по uid, логи можно подделать ещё до полной компрометации
>системы, получив привилегии обычного пользователя, и практически
>похоронить в дебрях ранних подложных сообщений все ценные подлинные,
>даже если ротация лог-файлов недеструктивна.
>
>Мораль: сервер логирования должен сохранять логи как можно дольше и
>больше, а сервер-источник должен производить аутентификацию
>локальных отправителей логов по uid.
>
>Сейчас в portage нет syslog-демона с поддержкой аутентификации
>пользовательских сообщений, но он есть в Openwall, откуда его можно
>портировать.
>
>А вообще, для эффективного обнаружения взлома по логам можно с помощью
>RBAC/MAC/audit настроить "ловушки", которые в ответ на отдельные
>аномалии будут порождать сообщения (с аутентификацией по источкнику -
>kmsg) по заранее известному шаблону, реакция на которые должна быть
>запрограммирована локально и/или удалённо.

Благодарю за столь развернутое пояснение. О возможности  зафлудить сервер логирования я как-то и не подумал. Да, мандатная система контроля доступа выглядит в данном случае неплохим решением, но требует тщательнейшей настройки и тестирования
-----BEGIN PGP SIGNATURE-----
Version: APG v1.0.8

iQE+BAEBCAAoBQJQBG8DIRxTZXJnZXkgUG9wb3YgPGFkbWluQHBpbmtieXRlLnJ1
PgAKCRAqP2kXnfduu5G7B/4hUN+VwqngyOoLUG9mlvszMvDGC4p2beo776wxFZjO
EtJwNOXRj0Z/skWv0RHbF+bsX/hzs7wF8C+BN+3KtcJp1bACznRGnUhMRa2WZIFY
W6vsBhST5wjHjxvEKkpsAr+X1ebryv8cn6aOR2BcveL8EpLQsoKqEDycNcxYOjWU
hvJlYuFxAo+mlLDpa7bEAWY2qBSSGKQ8pvqQmslw07Pt0N+8IZb30GprRXq489G6
iw+MnxsSyIZ8iWeadgYHZpJYCi6Vb/XQgF2IqT1prmfxm2uSaB/uSImR+XHCCsHS
7jGrQJKt8ypL+oygQJxCWk7dDAwo+m+RK7woOzlpsMxt
=aJmH
-----END PGP SIGNATURE-----