LINUX.ORG.RU
решено ФорумAdmin

OSSEC: file-integrity monitoring ... on logs


0

1

Доброго времени суток.

В документации OSSEC сказано http://www.ossec.net/doc/manual/non-technical-overview.html

Covers PCI DSS section 10 in a whole.

10.5.5 требует

Use file-integrity monitoring or change-detection software on logs to ensure that existing log data cannot be changed without generating alerts (although new data being added should not cause an alert).

При этом osscec парсит логи, но не реагирует на их изменение. Пробовал добавлять check_diff, ругается, похоже это только для <log_format>command</log_format>

Теоретически, подошло бы

chattr +a <лог>

но ossec игнорирует изменения расширенных ext атрибутов

★★★★★
Перенаправление трафика на другой хост
Redirect на другой сервер по достижению количества пользователей

Нашёл следующее:

http://www.mail-archive.com/ossec-list@googlegroups.com/msg04373.html

I don't think PCI requires that. Can you point where it says that? In addition to that, I don't think there is any tool that can guarantee the integrity of a log file (specially via syslog)...

http://www.ossec.net/main/ossecteam

Daniel B. Cid – Lead developer and founder of the project

Т.е. разработчик высказывал сомнение, что DSS это требует, а не подсказал конкретное решение. Было это 2,5 года назад, но больше ничего нагуглить не удалось

router ★★★★★
() автор топика

думается мне, что целостность логов может быть достигнута путем одновременной их записи на два или три устройства. далее, путем головования можно выяснить значения, вызывающие подозрения.

не имеется ли в виду целостность именно в том смысле, что злоумышленник не подменит их?

aol ★★★★★
()
Ответ на: комментарий от aol

Целостность логов можно проверять многими разными способами.

Речь о том, что в документации OSSEC заявлена реализация требования 10.5.5 PCI DSS, а на деле ossec в умолчальной конфигурации кладёт на целостность логов, а найти документацию по настройке проверки целостности логов не удалось. logcheck и syscheck, судя по документации, этим не занимаются

router ★★★★★
() автор топика
Ответ на: комментарий от router

Насколько мне известно «модификацией логов» в понятии OSSEC и других подобных контроллерах целостности, типа того же Samhain, считается если размер лог файла уменьшился с момента занесения его в базу файлов для мониторинга. То есть например можно модифицировать лог файл и при этом оставить тот же размер что до модификации или больше и тогда маячок уже не сработает.

В целом же логи как правило пишутся на удаленный лог сервер (это кстати тоже требование PCI DSS) банальным syslog'ом который не позволяет модифицировать уже отправленный лог. Самый простой способ это писать логи через «N» промежуток времени (например /var/log/$YEAR/$MONTH/$DAY/$HOST/$FACILITY) и обновлять базу OSSEC'а раз в сутки/час/как-угодно занося туда архивные логи - в итоге получится что в архивные логи никто писать уже ничего не будет и контроль целостности в данном случае соблюдается в полной мере.

FreeBSD ★★★
()
Ответ на: комментарий от FreeBSD

>Насколько мне известно «модификацией логов» в понятии OSSEC и других подобных контроллерах целостности, типа того же Samhain, считается если размер лог файла уменьшился с момента занесения его в базу файлов для мониторинга.

Рандомно удалил 10% строк, никакой реакции.

Самый простой способ это писать логи через «N» промежуток времени (например /var/log/$YEAR/$MONTH/$DAY/$HOST/$FACILITY) и обновлять базу OSSEC'а раз в сутки/час/как-угодно занося туда архивные логи - в итоге получится что в архивные логи никто писать уже ничего не будет и контроль целостности в данном случае соблюдается в полной мере.

А это отличная идея, спасибо :) Про realtime проверку целостности ничего не сказано :)

router ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Перенаправление трафика на другой хост
Admin
Redirect на другой сервер по достижению количества пользователей