OpenForum RSS: Релиз системы обнаружения атак Snort 2.9.14.0 https://opennet.ru/openforum/vsluhforumID3/117959.html Компания Cisco опубликовала (https://blog.snort.org/2019/07/snort-29140-has-been-released.html) релиз Snort 2.9.14.0 (http://www.snort.org/), свободной системы обнаружения и предотвращения атак, комбинирующей в себе методы сопоставления по сигнатурам, средства для инспекции протоколов и механизмы для выявления аномалий.<br><br><br><br>Основные новшества: <br><br>- Добавлена поддержка масок номеров портов в кэше хостов и возможность переопределения привязки идентификаторов приложений к сетевым портам;- Добавлены новые шаблоны клиентского ПО для вывода запроса на подтверждение;- Добавлена поддержка определения Microsoft Outlook для macOS;- Добавлено новое предупреждение препроцессора, выводимое в случае отсутствия корректного окончания заголовка;- Улучшено определение идентификаторов приложений в трафике, проходящем через прокси.<br><br><br><br><br>URL: https://blog.snort.org/2019/07/snort-29140-has-been-released.html<br>Новость: https://www.opennet.ru/opennews/art.shtml?num=51124<br> Релиз системы обнаружения атак Snort 2.9.14.0 (OpenEcho) https://opennet.ru/openforum/vsluhforumID3/117959.html#14 Mon, 22 Jul 2019 09:04:32 GMT &gt; ага и давно устарело )))) <br><br>факты в студию, с каких это пор chattr устарел ?<br><br>&gt; для меня systemd не проблема, я его не боюсь в отличии от <br>&gt; некоторых любителей старых граблей.<br><br>а кто здесь сказал что кто-то боится systemd ?<br>его просто не любят за наглость заниматься не свойственными инит процессу делами, его ненавидят когда оно виснет на тачке что у черта на куличках, ему не верят за кучу постоянных новых багов... <br><br>&gt; А вот ответить по существу похоже не кому (((((( <br><br>кушают в ресторанах, а какают в туалетах, то же самое и с вашим вопросом, здесть не форум snort-a, a просто новости <br><br> Релиз системы обнаружения атак Snort 2.9.14.0 (fi2fi) https://opennet.ru/openforum/vsluhforumID3/117959.html#13 Mon, 22 Jul 2019 08:03:54 GMT &gt;было давно придумано и &#8230;<br><br>ага и давно устарело ))))<br>для меня systemd не проблема, я его не боюсь в отличии от некоторых любителей старых граблей. <br><br>А вот ответить по существу похоже не кому ((((((<br> Релиз системы обнаружения атак Snort 2.9.14.0 (Аноним) https://opennet.ru/openforum/vsluhforumID3/117959.html#12 Sun, 21 Jul 2019 11:57:08 GMT Не говоря уже о том, что надеяться на целостность подобный данных, хранимых локально, довольно опрометчиво. Нормальная практика сразу при создании ивента, доставить его в централизованную систему хранения и анализа логов.<br> Релиз системы обнаружения атак Snort 2.9.14.0 (OpenEcho) https://opennet.ru/openforum/vsluhforumID3/117959.html#11 Fri, 19 Jul 2019 16:43:39 GMT IMHO, Инвестируйте лучше время в то, что уже было давно придумано и подтвержденно временем вместо controversial systemd<br><br>chattr +au file.log # Linux<br>chflags uunlnk,sappend file.log # BSD<br><br>для паранои можете еще банально git-ом или fossil-ом архивировать и даже пушать файлы в удаленный репозиторий, по сути, та же верификация<br> Релиз системы обнаружения атак Snort 2.9.14.0 (Аноним84701) https://opennet.ru/openforum/vsluhforumID3/117959.html#10 Fri, 19 Jul 2019 15:10:52 GMT &gt; Но в systemd журналы хранятся в бинарном виде. Это не так надежно, <br>&gt; как обычный плейн текст. Плюс бинарные логи противоречат общему духу UNIX. <br><br>Плюс, что правда почему-то очень скромно умалчивается, верифицируются [опечатываются] логи по умолчаниют только каждые 15 минут. <br>&gt; --interval=<br>&gt; Specifies the change interval for the sealing key when generating an FSS key pair with --setup-keys.<br>&gt; Shorter intervals increase CPU consumption but shorten the time range of undetectable journal alterations.<br>&gt; Defaults to 15min.<br><br>Если успеть подменить [что, как все знают, совершенно невозможно на практике, ведь хаки последних 15 лет делаются исключительно вручную, а не автоматизируются скриптами!], то будет верифициррованная сказочка от хакера :). <br> <br><br> Релиз системы обнаружения атак Snort 2.9.14.0 (Аноним) https://opennet.ru/openforum/vsluhforumID3/117959.html#9 Fri, 19 Jul 2019 15:02:24 GMT Но в systemd журналы хранятся в бинарном виде. Это не так надежно, как обычный плейн текст. Плюс бинарные логи противоречат общему духу UNIX. <br> Релиз системы обнаружения атак Snort 2.9.14.0 (fi2fi) https://opennet.ru/openforum/vsluhforumID3/117959.html#8 Fri, 19 Jul 2019 14:15:02 GMT ссылку на buildroot для него !!!<br><br> Релиз системы обнаружения атак Snort 2.9.14.0 (fi2fi) https://opennet.ru/openforum/vsluhforumID3/117959.html#7 Fri, 19 Jul 2019 14:14:17 GMT можно долго объяснять какой он кривой )))<br>но все проще - нужен systemd-journald с его верификацией целостности.<br> Релиз системы обнаружения атак Snort 2.9.14.0 (Аноним) https://opennet.ru/openforum/vsluhforumID3/117959.html#6 Fri, 19 Jul 2019 14:10:33 GMT А зачем с systemd? Чем sysVinit не угодил?<br>