https://www.opennet.me/openforum/vsluhforumID3/86136.html Леннарт Поттеринг (Lennart Poettering) представил (http://lists.freedesktop.org/archives/systemd-devel/2012-August/006343.html) релиз системного менеджера systemd v189 (http://www.freedesktop.org/software/systemd/). В новой версии добавлена поддержка чтения нового структурированного формата логов ядра Linux через интерфейс /dev/kmsg. Интегрирован код механизма FSS (Forward Secure Sealing), позволяющего (http://www.opennet.ru/opennews/art.shtml?num=34630) гарантировать неизменность логов, создаваемых подсистемой Journal (для проверки целостности лога следует использовать "journalctl --verify"). Для сервисов представлены две новые настройки RestartPreventExitStatus и SuccessExitStatus для управления перезапуском сервисов в зависимости от кода возврата.<br><br><br><br>URL: http://lists.freedesktop.org/archives/systemd-devel/2012-August/006343.html<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=34646<br> https://www.opennet.me/openforum/vsluhforumID3/86136.html#113 Sat, 25 Aug 2012 18:38:19 GMT &gt;&gt; Что это тебе даст?)) Как это скажется на эффективности твоей работы? Будешь <br>&gt;&gt; переустанавливать систему?)) <br>&gt; Зачем? Вначале нужно проанализировать изменения, внесённые злоумышленником в систему. [skipped] бла-бла-бла.<br><br>И тут конечно же стёртые логи - как никогда кстати. Фича номера! Фича детектор! Логов нету - значит взломали. А зачем это вообще нужно - когда есть другие инструменты детекторы - хз. Напихаем всего, и самого левого в systemd, ага.<br><br>&gt;&gt; Главное - результат взлома. Скопированные пароли, скомпрометированные пользователи, <br>&gt;&gt; ненадёжный сайт, а ты с своим "это будет доказательство! пыщ-пыщ!!!")) <br>&gt; Вы знаете, что успешный взлом, это взлом о котором никто не узнал? <br><br>Случись у тебя подобное - сидел бы ты с умным видом, лялякая что это всего лишь пиписькометр, это не успешный взлом?)))<br><br>P.S. Остальное - словоблудие.<br><br><br> https://www.opennet.me/openforum/vsluhforumID3/86136.html#112 Sat, 25 Aug 2012 18:32:08 GMT &gt; Бро, все в этом мире илююзия. <br><br>Согласен) И незачем накручивать лишние сущности, вроде этой тогда ;)<br><br>&gt;Настоящей защищенностью обладает только выключенный комп <br>&gt; в сейфе. Да и то - сейфы бывают взалмывают.<br><br>Человека взламывают... а компьютеры то...<br><br> https://www.opennet.me/openforum/vsluhforumID3/86136.html#111 Sat, 25 Aug 2012 12:03:44 GMT &gt; Зачем? Вначале нужно проанализировать изменения, внесённые злоумышленником в систему. Лучше всего работать с образом, на виртуалке. Определить, как был проведён взлом, дыры в каком ПО использовались.<br><br>Уверен что журналд тебе помощник в этом прям в стопицсот раз круче старого?<br><br>&gt; Затем обратить внимание на изменённые бинари, сравнивая их с орининальными той же версии на другой виртуалке. Если хеш бинарей не совпадает, у вас появились новые бинарники или скрипты - это проблемма.<br><br>Подписанные пакеты надо ставить и юзать проверку пакетного менеджера.<br><br>&gt; И только когда все программы гарантированно проверенны, все конфиги проверены и исправленны, и ни один зловре не обнаружен, мы на виртуалке же проводим апгрейд ПО, латая дыры, меняя некоторое ПО на аналогичное, но от другого производителя при необходимости.<br><br>Какое аналогичное ПО от другого производителя? Есть стандартные репы производителя подписанные ключами. Ставить из других мест ССЗБ.<br><br>&gt; А со злоумышленниками стоит поиграть в медовую ловушку, дав https://www.opennet.me/openforum/vsluhforumID3/86136.html#110 Sat, 25 Aug 2012 11:38:05 GMT &gt; Что это тебе даст?)) Как это скажется на эффективности твоей работы? Будешь <br>&gt; переустанавливать систему?)) <br><br>Зачем? Вначале нужно проанализировать изменения, внесённые злоумышленником в систему. Лучше всего работать с образом, на виртуалке. Определить, как был проведён взлом, дыры в каком ПО использовались. Затем обратить внимание на изменённые бинари, сравнивая их с орининальными той же версии на другой виртуалке. Если хеш бинарей не совпадает, у вас появились новые бинарники или скрипты - это проблемма. Поиск закладок в модулях ядра, которые могут скрыть от вас деятельность зловредов. И только когда все программы гарантированно проверенны, все конфиги проверены и исправленны, и ни один зловре не обнаружен, мы на виртуалке же проводим апгрейд ПО, латая дыры, меняя некоторое ПО на аналогичное, но от другого производителя при необходимости. А со злоумышленниками стоит поиграть в медовую ловушку, дав им на некоторое время после обнаружения взлома ещё немного порезвиться с поломанной системой,но уже на вир https://www.opennet.me/openforum/vsluhforumID3/86136.html#109 Sat, 25 Aug 2012 08:59:02 GMT d - это от doomsday? :)<br> https://www.opennet.me/openforum/vsluhforumID3/86136.html#108 Sat, 25 Aug 2012 08:57:26 GMT Сколько лет less, и сколько - поттероподелию?<br> https://www.opennet.me/openforum/vsluhforumID3/86136.html#107 Sat, 25 Aug 2012 07:14:55 GMT &gt; Приятный отход от традиционной линуксовой нумерации типа 0.0.1.234.567.8 <br><br>Толсто же<br> https://www.opennet.me/openforum/vsluhforumID3/86136.html#106 Sat, 25 Aug 2012 07:14:06 GMT &gt; который создаёт иллюзию защищённости и &#171;бздительности&#187;, <br>&gt; а по факту - кукиш с дёгтем.<br><br>Бро, все в этом мире илююзия. Настоящей защищенностью обладает только выключенный комп в сейфе. Да и то - сейфы бывают взалмывают.<br> https://www.opennet.me/openforum/vsluhforumID3/86136.html#105 Sat, 25 Aug 2012 07:10:17 GMT &gt; Раньше они тащились от нового формата логов, мол там будет скуль, <br><br>А что мешает это включить в syslog-ng?<br><br><br>