The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

FreeBSD Foundation профинансирует реализацию системы auditdistd

13.01.2012 19:23

Организация FreeBSD Foundation объявила о выделении денежного гранта на создание демона auditdistd, нацеленного на обеспечение безопасного и надёжного способа передачи логов системного аудита поверх TCP/IP сети от локального демона аудита к демону аудита на удалённом сервере. Разработкой демона auditdistd займётся Pawel Jakub Dawidek, известный созданием порта ZFS и GEOM-классов eli, mirror, gate, label и journal. Работу планируется завершить в феврале этого года.

Система аудита FreeBSD позволяет организовать ведение полного лога событий, который, в частности, может быть полезен для анализа причин и последствий инцидентов, связанных с нарушением безопасности. В настоящее время ядро передаёт события аудита напрямую в файл или через устройство /dev/auditpipe. Так как лог сохраняется локально, злоумышленнику не составляет труда удалить лог или почистить в нём следы своей деятельности. Необходимость создания auditdistd продиктована желанием обеспечить возможность надёжного хранения логов аудита на внешнем сервере, что позволит защитить данные аудита от модификации злоумышленником в случае взлома локальной системы.

  1. Главная ссылка к новости (http://lists.freebsd.org/piper...)
  2. OpenNews: FreeBSD Foundation профинансирует тестирование эффективности IPv6-стека FreeBSD
  3. OpenNews: Организация FreeBSD Foundation объявила о финансировании проектов HAST и FDT
  4. OpenNews: Началось тестирование файловой системы ZFS v28 для FreeBSD
Лицензия: CC-BY
Тип: К сведению
Короткая ссылка: https://opennet.ru/32800-audit
Ключевые слова: audit, freebsd, log
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (15) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.3, Аноним (-), 22:03, 13/01/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Насколько я помню, в Linux это реализовано с 2003 года плагином к auditd.
     
     
  • 2.20, Java (?), 08:27, 14/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Что именно? Передача по сети? Или защищённая передача по сети?
     
     
  • 3.28, Аноним (-), 00:16, 15/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Что именно? Передача по сети? Или защищённая передача по сети?

    И то, и другое. Поддерживается аутентификация и шифрование через kerberos.

     

  • 1.5, Аноним (-), 01:56, 14/01/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Я один подумал про rsync+ssh?
     
     
  • 2.8, XoRe (ok), 02:24, 14/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Я один подумал про rsync+ssh?

    тут скорее syslog+ssh)

     
     
  • 3.15, Аноним (-), 05:35, 14/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > тут скорее syslog+ssh)

    auditd - это отнюдь не syslogd, не надо их путать.
    Там совершенно разный подход к уровню защиты.

     
     
  • 4.41, XoRe (ok), 01:31, 16/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> тут скорее syslog+ssh)
    > auditd - это отнюдь не syslogd, не надо их путать.
    > Там совершенно разный подход к уровню защиты.

    Да.
    Но аудит ближе к syslog, чем к rsync)

     
  • 2.16, Аноним (-), 05:38, 14/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Я один подумал про rsync+ssh?

    Если логи будут валяться на сервере, ожидая синхронизации, это сводит на нет значительные усилия по обеспечению их безопасности на предыдущих этапах. Да и с точки зрения потребления сети/CPU отнюдь не оптимальное решение.
    Отправка логов должна идти в реальном времени, непрерывным потоком.

     
     
  • 3.40, Frank (ok), 12:47, 15/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    дык, named pipes!
     

  • 1.19, CHERTS (??), 07:54, 14/01/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Не пойму, что мешает сливать лог аудита по сети, хоть в открытом виде, хоть в шифрованном. Причем это можно сделать и в реал-тайме.
     
     
  • 2.22, mihail krijich (?), 13:01, 14/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Не пойму, что мешает сливать лог аудита по сети, хоть в открытом
    > виде, хоть в шифрованном. Причем это можно сделать и в реал-тайме.

    рабочие решения можно?

     
     
  • 3.24, terr0rist (ok), 14:36, 14/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    ssh user@host tail -f log
     
     
  • 4.25, terr0rist (ok), 14:36, 14/01/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > ssh user@host tail -f log

    (если кто не догнал, это прикол конечно :)

     

  • 1.29, Аноним (-), 00:19, 15/01/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > Работу планируется завершить в феврале этого года.

    По-моему, здесь опечатка. Зная Давидека - это февраль как минимум _следующего_ года.

     
     
  • 2.42, Kibab (ok), 16:42, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    В оригинале новости стоит февраль 2012 года.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру