Дохнет намертво и уже не респаунится.

Это типа предосторожность от замены journald?

Я не производил замену. Если подсунуть левый модуль журналирования перед прибиванием процесса, то скорее всего поднимется.

в systemd есть код, который дает нужное смещение

хотя вроде как достаточно просто из заголовка вычитать кол-во записей и сделать его поменьше, при следующей записи systemd сам его обрежет, потом попробую

Это сакральное и непонятное тебе дерево Меркле. Почитай на досуге, технология почти такая же.

Что за дистр? У меня создает новый файл журнала. Дебиан/сид.

Джента

Пропажа журнала говорит о том, что произошло что-то странное. Надо быть идиотом , чтобы не понять, что либо админ что-то начудил, либо система была взломана. А админ знает, что в тот день он ничего не трогал и вообще сервер уже несколько месяцев непрерывно работает и логи никуда не пропадают.

В итоге админ по-любому остановит сервер и начнёт проводить аудит системы. Да, без логов вычистить заразу будет сложнее, но ведь можно и просто накатить новую систему из бэкапа. А злоумышленнику наоборот надо, чтобы как можно дольше его действия не были обнаружены, чтобы можно было тихонько сливать информацию (после обнаружения взлома такая информация как пароли тут же станет не актуальна - админ их сменит везде), использовать вычислительные ресурсы, атаковать другие машины в локальной сети и т. д.

Благодарю за подсказку, теперь более понятно.

То есть у тебя после переименовывания файла и прибивания процесса, с последующим переименовыванием файла назад, процесс всё-таки поднимается? Да ещё и с новым файлом журнала?

Проблема в том, что у journald есть информация только для добавления записи после текущей. Для добавления каждой записи нужен уникальный хеш основанный на предыдущем. Поскольку все предыдущие хеши уничтожаются, вернуться назад уже не получится.

Для первой строки лога используется ключ для подписи hash(secret_key), для второй строки hash(hash(secret_key)), для третьей hash(hash(hash(secret_key))). Таким образом можно сразу забывать предыдущий хеш и хранить лишь текущий.

В итоге злоумышленник сможет лишь добавить в лог фейковые записи, но не изменить старые, где видно проникновение в систему до того, как он получил контроль над journald.

Объясните мне, глупому, что злоумышленнику, который получил права на изменение журналов (т.е. root) помешает заменить бинарник верификации логов таким образом, чтобы при попытке верификации выполнялся хотя бы 1 из пунктов:

1. Выдавать статус Ок независимо от реального результата проверки
2. Сразу после ввода верификационного ключа генерить из текста новый журнал, которые будет проходить проверку даже после смены бинарника на правильный.

Предположения о том, что остановить systemd нельзя (хотя верифицировать же не сам systemd будет?) можно не рассматривать: всегда можно подправить процесс в памяти не завершая его, имея root-права.

Да не за что, мне вот непонятно как не дать злоумышленнику ответвиться от дерева в нужный момент... Но тут, наверное, на помощь приходит волшебная технология брата Поттеринга!

Повторить не удалось. Вероятно зависит от того, где именно были внесены изменения (я не думаю, что systemd-journal перечитывает весь журнал). При второй попытке он поднялся, но ставил старый журнал.

2-й вариант очень понравился, особенно патч адресного пространства процесса журнала.

Подводя итог: remote syslog server - намного более надежное решение.

remote syslog server - намного более надежное решение.

Бесспорно.

Подводя итог: remote syslog server - намного более надежное решение.

С этим никто не спорит, к сожалению не всегда это возможно сделать.

Для первой строки лога используется ключ для подписи hash(secret_key), для второй строки hash(hash(secret_key)), для третьей hash(hash(hash(secret_key))). Таким образом можно сразу забывать предыдущий хеш и хранить лишь текущий.

но вроде как это все-равно не помешает забить нужные записи мусором, чтоб если админ и полез читать логи, то обломался?

С этим никто не спорит, к сожалению, когда-нибудь уберут из journnald бекэнд в syslog и это вообще невозможно будет сделать.

Печальный фикс.

но вроде как это все-равно не помешает забить нужные записи мусором, чтоб если админ и полез читать логи, то обломался?

Равносильно удалению файла с журналами.

Равносильно удалению файла с журналами.

удаление всех логов админ увидит, а вот изменение старых - не факт

Вряд ли. syslog используют не только компы. Поставить systemd на какую-нибудь киску не получится.

удаление всех логов админ увидит, а вот изменение старых - не факт

Верификацию вторым ключом этот журнал уже не пройдет. Даже его читать не обязательно.

Верификацию вторым ключом этот журнал уже не пройдет.

с чего ты взял? в коде systemd проверяются хеши для записей, а не их содержимое

Такой лог не пройдёт проверку.

Как вариант: регулярный бэкап логов на удаленную машину, которая все остальное время может быть вообще физически выключена или выключена от сети. Это на случай, если логи просто потрут.

И хранение программы верификации опять же только на удаленной машине, которая все остальное время выключена. И проверять ей как логи из бэкапов, так и на с рабочей версии. Пока видится такая замена уделенному журналированию.

Я как-то всё же предпочитаю remote syslog

Forward Secure Sealing (FSS) позволяет накладывать криптографические отпечатки на журнал системных логов. Таким образом, злоумышленники не смогут изменить журнал ...

Текст новости. Это все и придумано для того, чтобы нельзя было редактировать логи. Исходники лень читать, смотреть как именно оно все там реализовано.

да, уже нашел

Ужасные костыли. Леннарт хотел как лучше, а получилось как всегда.

Зато генератор QR-кодов для консольки написал, как же без него.

В таком случае сверка последних подписей (с бекапной и рабочей машины) займет меньше времени, чем диф пары гигов логов.

Костыль, конечно. Это ежу понятно. А на счет хотел как лучше: криптография сама по себе не панацея. Если есть возможность подменить криптомодуль контроля, то все напрасно. Именно поэтому вводится TrustedComputing и прочие eToken'ы.

Никогда не влезал в местные баталии за/против systemd и Леннарта лично, но предлагаемая реализация подписи журналов создает лишь видимость безопасности. Поэтому может быть стоило заняться доведением до ума других аспектов systemd, вместо добавления нового бессмысленного функционала? И это все больше напоминает MS-way, когда в систему добавляли всякие SFC, UAC и прочие. Такие изменения лишь осложняют жизнь легальному пользователю; создают, повторюсь, ложное чувство защищенности; да, делают неработоспособными старые атаки. Но появляются новые - еще более скрытные и изощренные. Это не решение проблем с безопасностью, это - заклеивание черного хода обоями: изнутри выглядит нормально.

Не понял сути высказывания. И причем тут диф?

Лог бинарный. Просто сверить не получится - будут отличия из-за новых записей. И наверняка в заголовок что-то дописывается.

Бэкап нужен на для сверки, а для обращения к нему на случай утери основной копии. Может быть какая-то часть нелегальных действий (начало атаки) успело попасть в бэкап.

У меня двоится в глазах? Поттеринги, ТЕПЕРЬ ИХ ДВОЕ?!

По теме: А разве journald не бросили ради принципиально новой системы логов линуксов?

Т.е. предполагаю такую схему: Имеется сервер на удаленной площадке, связь с которым осуществляться через GPRS (я сталкивался с парой таких устройств). Т.е. постоянно бекапить логи не получается. Естественно я могу загрузить логи за определенное число, но постоянно это делать не желательно. Вместо этого мы передаем на бекапный сервер подписи логов (естественно не все, а с некоторым интервалом). Т.к. у бекапного сервера есть предыдущие подписи он может проверить он может проверить их корректность. В случае расхождения послать аларм и т.д. Сами логи с вскрытой машины интереса не представляют, им все равно нельзя верить. Достаточно установить сам факт подмены логов и примерное время.

А разве journald не бросили ради принципиально новой системы логов линуксов?

Вы, вероятно, про это.

У этого проекта есть сайт, на котором написано:

Code Repository

libumberlog A drop-in replacement for syslog.h that provides structured logging support

Видимо, от первоначальной задумки объединения работы уже ничего не осталось.

Но активность в этоп репозитории имеется.

Понятно. Всё на радость Поттерингам.

Сомнительное нововведение. %)

Чтобы проверить хеш новой записи лога нужен хеш старой записи лога и сама запись лога. Иначе ведь никак. h = hash(prev_h, log_entry)

Да, я не правильно написал. Имелось ввиду, что не обязательно для каждой новой записи делать новый ключ. Это можно делать с некоторым интервалом, скажем каждые n записей или по времени. Мне интересно другое: достаточно ли самих ключей для проверки их корректности или обязательно нужны сами записи.

Bertram Poettering, брат Леннарта

Их еще и двое?! Где напалм?

P.S. Все понял. Невнимательно прочитал. Обидно, что это не возможно.

А веб-серверов таких нет?

чтобы отдавали только те страницы, которые подписаны цифровой подписью ;)

То, что логи исчезли, не свидетельствует ни о чем.

Шалит logrotatе, lol

Долго думал, но так и не понял, зачем это может быть нужно

Это как?

А ничего, что лог подписывать будет просто нечем?

А Леннарт ничего подписывать и не собирается. Там какая-то муть с хешированием. И, как я уже написал, нерабочая.

FSS основан на «Forward Secure Pseudo Random Generators», созданным Бертрамом Поттеринг (Bertram Poettering, брат Леннарта) в Royal Holloway университете Лондона, в котором он занимается криптографическими исследованиями.

О Боже, еще один Поттеринг, только в криптологии... Ну ничего, там велосипедостроение не любят, а кривые поделия быстро обламываются.

Долго думал, но так и не понял, зачем это может быть нужно

Чтобы в сохраненном на другой машине логе точно найти место, с которого он подделан :)

Почему нерабочая?

А Леннарт ничего подписывать и не собирается.

А открытый и закрытый ключи на что?