FreeBSD Foundation профинансирует реализацию системы auditdistd

13.01.2012 19:23

Организация FreeBSD Foundation объявила о выделении денежного гранта на создание демона auditdistd, нацеленного на обеспечение безопасного и надёжного способа передачи логов системного аудита поверх TCP/IP сети от локального демона аудита к демону аудита на удалённом сервере. Разработкой демона auditdistd займётся Pawel Jakub Dawidek, известный созданием порта ZFS и GEOM-классов eli, mirror, gate, label и journal. Работу планируется завершить в феврале этого года.

Система аудита FreeBSD позволяет организовать ведение полного лога событий, который, в частности, может быть полезен для анализа причин и последствий инцидентов, связанных с нарушением безопасности. В настоящее время ядро передаёт события аудита напрямую в файл или через устройство /dev/auditpipe. Так как лог сохраняется локально, злоумышленнику не составляет труда удалить лог или почистить в нём следы своей деятельности. Необходимость создания auditdistd продиктована желанием обеспечить возможность надёжного хранения логов аудита на внешнем сервере, что позволит защитить данные аудита от модификации злоумышленником в случае взлома локальной системы.

исправить +9 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/32800-audit

Ключевые слова: audit, freebsd, log

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (15)

1.3, Аноним (-), 22:03, 13/01/2012 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Насколько я помню, в Linux это реализовано с 2003 года плагином к auditd.

2.20, Java (?), 08:27, 14/01/2012 [^] [^^] [^^^] [ответить]	+/–
Что именно? Передача по сети? Или защищённая передача по сети?

3.28, Аноним (-), 00:16, 15/01/2012 [^] [^^] [^^^] [ответить]	+/–
> Что именно? Передача по сети? Или защищённая передача по сети? И то, и другое. Поддерживается аутентификация и шифрование через kerberos.

1.5, Аноним (-), 01:56, 14/01/2012 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Я один подумал про rsync+ssh?

2.8, XoRe (ok), 02:24, 14/01/2012 [^] [^^] [^^^] [ответить]	+/–
> Я один подумал про rsync+ssh? тут скорее syslog+ssh)

3.15, Аноним (-), 05:35, 14/01/2012 [^] [^^] [^^^] [ответить]	+/–
> тут скорее syslog+ssh) auditd - это отнюдь не syslogd, не надо их путать. Там совершенно разный подход к уровню защиты.

4.41, XoRe (ok), 01:31, 16/01/2012 [^] [^^] [^^^] [ответить]	+/–
>> тут скорее syslog+ssh) > auditd - это отнюдь не syslogd, не надо их путать. > Там совершенно разный подход к уровню защиты. Да. Но аудит ближе к syslog, чем к rsync)

2.16, Аноним (-), 05:38, 14/01/2012 [^] [^^] [^^^] [ответить]	+/–
> Я один подумал про rsync+ssh? Если логи будут валяться на сервере, ожидая синхронизации, это сводит на нет значительные усилия по обеспечению их безопасности на предыдущих этапах. Да и с точки зрения потребления сети/CPU отнюдь не оптимальное решение. Отправка логов должна идти в реальном времени, непрерывным потоком.

3.40, Frank (ok), 12:47, 15/01/2012 [^] [^^] [^^^] [ответить]	+/–
дык, named pipes!

1.19, CHERTS (??), 07:54, 14/01/2012 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Не пойму, что мешает сливать лог аудита по сети, хоть в открытом виде, хоть в шифрованном. Причем это можно сделать и в реал-тайме.

2.22, mihail krijich (?), 13:01, 14/01/2012 [^] [^^] [^^^] [ответить]	+/–
> Не пойму, что мешает сливать лог аудита по сети, хоть в открытом > виде, хоть в шифрованном. Причем это можно сделать и в реал-тайме. рабочие решения можно?

3.24, terr0rist (ok), 14:36, 14/01/2012 [^] [^^] [^^^] [ответить]	+/–
ssh user@host tail -f log

4.25, terr0rist (ok), 14:36, 14/01/2012 [^] [^^] [^^^] [ответить]	–1 +/–
> ssh user@host tail -f log (если кто не догнал, это прикол конечно :)

1.29, Аноним (-), 00:19, 15/01/2012 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
> Работу планируется завершить в феврале этого года. По-моему, здесь опечатка. Зная Давидека - это февраль как минимум _следующего_ года.

2.42, Kibab (ok), 16:42, 18/01/2012 [^] [^^] [^^^] [ответить]	+/–
В оригинале новости стоит февраль 2012 года.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: