LINUX.ORG.RU

В systemd гарантируется неизменность логов

 , ,


0

2

Для

Для Ъ:

Леннарт Поттеринг (Lennart Poettering) сообщил о добавлении в код Journal, в рамках которого развивается подсистема systemd, призванная заменить собой службу syslog и другие сопутствующие сервисы журналирования событий, поддержки механизма цепочной верификации записей FSS (Forward Secure Sealing). Указанная техника позволяет гарантировать неизменность логов и не позволяет злоумышленникам в случае успешной атаки на систему подменить записи в логе (лог можно удалить целиком, но нельзя незаметно изменить или удалить отдельные записи).

Суть FSS сводится к использованию методов криптографии по открытым ключам в сочетании с формированием по цепочке проверочных хэшей для всех записей лога. Для начальной записи лога будет генерироваться пара из закрытого и открытого ключей, после формирования первой цифровой подписи закрытый ключ будет удалён, а для всех последующих записей в журнале будут генерироваться хэши, по цепочке охватывающие хэши предыдущих записей. Используя первичный проверочный ключ, который предлагается сохранить после создания лога на внешнем носителе, можно проверить неизменность всего лога.

Обычно для защиты логов от подмены записей в результате взлома используют средства журналирования на внешние syslog-серверы, но такой способ требует привлечения дополнительных ресурсов и усложнения конфигурации. FSS позволяет гарантировать целостность локально сохранённых логов, но требует периодического сохранения сгенерированных проверочных ключей на внешние системы или носители, после генерации новых ключей. Иначе, злоумышленник может перестроить лог и подменить проверочный ключ. Для упрощения операции сохранения проверочных ключей их предлагается выводить на терминал, дав возможность администратору легко сфотографировать новый ключ телефоном. Поддержку FSS планируется включить в состав дистрибутива Fedora 18.

Ну вот и ещё одно преимущество бинарных логов.

d1337r ()

Для продолжения записи системного журнала вставьте диск в дисковод А: и нажмите продолжить.

control ()
Ответ на: комментарий от d1337r

Как будто текстовые логи так шифровать нельзя. Гит тому пример.

bk_ ★★ ()
Ответ на: комментарий от d1337r

Тонко, молодец)

FSS позволяет гарантировать целостность локально сохранённых логов, но требует периодического сохранения сгенерированных проверочных ключей на внешние системы или носители, после генерации новых ключей.

Все равно логи придётся сохранять, потому что если «злоумышленник» удалит лог, я останусь только с фоткой QR-кода) А сохранить я также могу и лог. В том числе и текстовый)

chinarulezzz ★★ ()

для защиты логов от подмены записей в результате взлома используют средства журналирования на внешние syslog-серверы

Как будто только для этого.

cipher ★★★★★ ()

Модулем для rsyslog обойтись никак нельзя было?

entony ()
Ответ на: комментарий от entony

Только если rsyslog последовал бы за удевом внутрь systemd. Но место уже занято.

Cancellor ★★★★☆ ()
Ответ на: комментарий от entony

Скриптом можно наваять за 10 минут. А тут «технология»: логи подменить нельзя, их можно удалить, но чтобы их не удалили и администратор не знал что делать - логи надо сохранить на внешнем носителе. Но если логи и так придётся сохранить на внешнем носителе - нафейхоа эта «технология»?))

chinarulezzz ★★ ()

лог можно удалить целиком, но нельзя незаметно изменить или удалить отдельные записи

охренеть, как много пользы

можно хоть копировать периодически логи на внешний сервер и там их читать?

xsektorx ★★★ ()
Ответ на: комментарий от xsektorx

Можно написать бэш-скрипт, который вызывать (Exec=) в юните, а запуск добавить в cron) Там свой крон.

chinarulezzz ★★ ()
Ответ на: комментарий от chinarulezzz

Там свой крон

что, и крон поттерингу не понравился?

xsektorx ★★★ ()
Ответ на: комментарий от xsektorx

Такими темпами ему и линукс не понравится.

cipher ★★★★★ ()

даешь децентрализованные распределенные криптологи по модели биткоинов!

bender ★★★★★ ()
Ответ на: комментарий от cipher

если он уже не написал lennix - ядро, однозадачное, включается с третьего раза (из соображений безопасности), не поддерживает запуск XServer-а, только PotteringX, включает в себя systemd, pulseaudio (кому нужны эти ваши ALSA, OSS, Jack?!), networkmanager, avahi, httpd. Пока не умеет сеть, но зато есть встроенный OpenGL рендерер! Написано на C#.

XVilka ★★★★ ()

Journal, в рамках которого развивается подсистема systemd

читается так, будто systemd развивается в рамках journal, а не наоборот.

Komintern ★★★★★ ()

Мне не интересна эта фича.

cruxish ★★★★ ()

журналирование на внешние syslog-серверы

надежное, простое и прямое решение

лог можно удалить целиком
требует периодического сохранения сгенерированных проверочных ключей на внешние системы или носители

ненадежное и сложное решение

wota ★★ ()
Ответ на: комментарий от cipher

Такими темпами ему и линукс не понравится

Ждем недождемся

xorik ★★★★★ ()

Леннарт Поттеринг

Кто это такой?

pacify ★★★★★ ()

У меня debian сквиз. За новостями я не слежу. Планируется его там по дефолту ставить?

Собственно, мне пофиг, но тут такая шумиха, что кажется, что это что-то нехорошее.

Zorn ()
Ответ на: комментарий от Zorn

У меня debian сквиз. За новостями я не слежу. Планируется его там по дефолту ставить?

www.linux.org.ru/forum/talks/8131760

Непонятно пока.

Собственно, мне пофиг,

Тогда зонт пройдёт мягко. Что в общем-то лучше.

chinarulezzz ★★ ()
Ответ на: комментарий от chinarulezzz

Мне главное мой фаервольный скрипт запускать) Но раз там конвертер есть, то пофиг.

Zorn ()

Ключ как минимум 2048 бит, да? Как же все это будет работать? Систему можно будет «заддосить» путем включения на максимум логирования :) Уверен Поттеринг пишет мультипоточное приложение на плюсах, которое сожрет все доступное cpu ради генерерации хэшей. Отличное решение.

Более всего смущает факт наивной веры в шифрование. Если систему взломают и получат рут, то никакое шифрование не спасет. Факт того что видетели чексам несовпал != записи о том, что кто-то зашел на сервак. Ну зашли, ломанули, почистили лог, чексам не совпал - а дальше что? :)

gh0stwizard ★★★★★ ()
Ответ на: комментарий от gh0stwizard

а дальше что?

а дальше констатация факта, что система была скомпрометирована.

jcd ★★★★★ ()
Ответ на: комментарий от jcd

Более того, я не знаю какими серваками рулит Поттеринг, но факты взлома грамотные люди строят через auditd, selinux: странные действия от apache - письмо на мыло, смс и т.п., странные действия со стороны ssh - письмо на мыло, смс и т.п. Тогда будет: а) оперативность, а не тогда возжелал админ почитать логи; б) зависимость от логов и их удаления/модификации и т.п. резко отпадает. Ну третье - это конечно полагаться на разум, безбажный код, правильные рулесы в iptables, а не логи. Увы, с такими темпами я бы предложил Поттерингу создать мега супер-юзера под которым запускается его systemd-loggerd, к которому прав не хватит даже у рута. А вообще самое простой способ писать все на пленку и менять раз в недельку кассеты.

gh0stwizard ★★★★★ ()
Ответ на: комментарий от gh0stwizard

А вообще самое простой способ писать все на пленку и менять раз в недельку кассеты.

А как-же «mt rewind» ? :-)

<паранойя>
На принтер печатать надо. На матричный от ЕС ЭВМ. Чтоб не затерлось и перемотки небыло.
</паранойя>

sergv ()

Реквестую подробности. Ни здесь, ни по ссылке, ни по ссылке по ссылке не понятно, как именно обеспечивается защита логов.

gadfly ★★ ()
Ответ на: комментарий от gh0stwizard

я бы предложил Поттерингу

Почему не предлагаешь?
Считаешь, что не сможешь аргументировано убедить? или лениво?

Pakostnik ★★★ ()

Можете объяснить, как оно мне помешает подменить нужную запись а потом пересчитать все хеши начиная с этого места?

В общем, защита на уровне «шифрования паролей» в QIP. Что, в принципе и ожидалось. Защитить лог, ведущийся без обращений к внешнему устройству, невозможно в теории.

segfault ★★★★★ ()
Ответ на: комментарий от Pakostnik

Зачем мне кого-то убеждать ? Его решение имеет определенный смысл, пусть делает. Он сойдет с пути, когда начнет верить, что его решение является единственно верным.

gh0stwizard ★★★★★ ()
Ответ на: комментарий от chinarulezzz

Там свой крон.

Там убогий крон. По сравнению с fcron, например.

geekless ★★ ()
Ответ на: комментарий от gh0stwizard

я не знаю какими серваками рулит Поттеринг

Судя по направлению его разработок — никакими. Типичный админ локалхоста.

geekless ★★ ()
Ответ на: комментарий от xsektorx

типа если злоумышленник на сервере нагадил, убрать за собой ин сможет только полностью грохнув журнал. А это будет заметно - как минимум факт проникновения будет обнаружен, а детали можно потом запросить у провайдера или поискать на других машинах в сети

marvin_yorke ★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.