The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

13.01.2012 19:23  FreeBSD Foundation профинансирует реализацию системы auditdistd

Организация FreeBSD Foundation объявила о выделении денежного гранта на создание демона auditdistd, нацеленного на обеспечение безопасного и надёжного способа передачи логов системного аудита поверх TCP/IP сети от локального демона аудита к демону аудита на удалённом сервере. Разработкой демона auditdistd займётся Pawel Jakub Dawidek, известный созданием порта ZFS и GEOM-классов eli, mirror, gate, label и journal. Работу планируется завершить в феврале этого года.

Система аудита FreeBSD позволяет организовать ведение полного лога событий, который, в частности, может быть полезен для анализа причин и последствий инцидентов, связанных с нарушением безопасности. В настоящее время ядро передаёт события аудита напрямую в файл или через устройство /dev/auditpipe. Так как лог сохраняется локально, злоумышленнику не составляет труда удалить лог или почистить в нём следы своей деятельности. Необходимость создания auditdistd продиктована желанием обеспечить возможность надёжного хранения логов аудита на внешнем сервере, что позволит защитить данные аудита от модификации злоумышленником в случае взлома локальной системы.

  1. Главная ссылка к новости (http://lists.freebsd.org/piper...)
  2. OpenNews: FreeBSD Foundation профинансирует тестирование эффективности IPv6-стека FreeBSD
  3. OpenNews: Организация FreeBSD Foundation объявила о финансировании проектов HAST и FDT
  4. OpenNews: Началось тестирование файловой системы ZFS v28 для FreeBSD
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: audit, freebsd, log
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.3, Аноним (-), 22:03, 13/01/2012 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    Насколько я помню, в Linux это реализовано с 2003 года плагином к auditd.
     
     
  • 2.20, Java (?), 08:27, 14/01/2012 [^] [ответить]    [к модератору]
  • +/
    Что именно? Передача по сети? Или защищённая передача по сети?
     
     
  • 3.28, Аноним (-), 00:16, 15/01/2012 [^] [ответить]    [к модератору]
  • +/
    > Что именно? Передача по сети? Или защищённая передача по сети?

    И то, и другое. Поддерживается аутентификация и шифрование через kerberos.

     
  • 1.5, Аноним (-), 01:56, 14/01/2012 [ответить] [показать ветку] [···]    [к модератору]
  • +2 +/
    Я один подумал про rsync+ssh?
     
     
  • 2.8, XoRe (ok), 02:24, 14/01/2012 [^] [ответить]    [к модератору]
  • +/
    > Я один подумал про rsync+ssh?

    тут скорее syslog+ssh)

     
     
  • 3.15, Аноним (-), 05:35, 14/01/2012 [^] [ответить]    [к модератору]  
  • +/
    > тут скорее syslog+ssh)

    auditd - это отнюдь не syslogd, не надо их путать.
    Там совершенно разный подход к уровню защиты.

     
     
  • 4.41, XoRe (ok), 01:31, 16/01/2012 [^] [ответить]    [к модератору]  
  • +/
    >> тут скорее syslog+ssh)
    > auditd - это отнюдь не syslogd, не надо их путать.
    > Там совершенно разный подход к уровню защиты.

    Да.
    Но аудит ближе к syslog, чем к rsync)

     
  • 2.16, Аноним (-), 05:38, 14/01/2012 [^] [ответить]     [к модератору]  
  • +/
    Если логи будут валяться на сервере, ожидая синхронизации, это сводит на нет зна... весь текст скрыт [показать]
     
     
  • 3.40, Frank (ok), 12:47, 15/01/2012 [^] [ответить]    [к модератору]  
  • +/
    дык, named pipes!
     
  • 1.19, CHERTS (??), 07:54, 14/01/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Не пойму, что мешает сливать лог аудита по сети, хоть в открытом виде, хоть в шифрованном. Причем это можно сделать и в реал-тайме.
     
     
  • 2.22, mihail krijich (?), 13:01, 14/01/2012 [^] [ответить]    [к модератору]  
  • +/
    > Не пойму, что мешает сливать лог аудита по сети, хоть в открытом
    > виде, хоть в шифрованном. Причем это можно сделать и в реал-тайме.

    рабочие решения можно?

     
     
  • 3.24, terr0rist (ok), 14:36, 14/01/2012 [^] [ответить]    [к модератору]  
  • +/
    ssh user@host tail -f log
     
     
  • 4.25, terr0rist (ok), 14:36, 14/01/2012 [^] [ответить]    [к модератору]  
  • –1 +/
    > ssh user@host tail -f log

    (если кто не догнал, это прикол конечно :)

     
  • 1.29, Аноним (-), 00:19, 15/01/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    > Работу планируется завершить в феврале этого года.

    По-моему, здесь опечатка. Зная Давидека - это февраль как минимум _следующего_ года.

     
     
  • 2.42, Kibab (ok), 16:42, 18/01/2012 [^] [ответить]    [к модератору]  
  • +/
    В оригинале новости стоит февраль 2012 года.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor