LINUX.ORG.RU

Re: syslog-ng v1.6.1

ну и кому эта новость нужна? всё равно никто в здравом уме себе syslog обновлять не будет по крайней мере до обновления всего дистрибутива

anonymous ()

Re: syslog-ng v1.6.1

а какие его преимущества над syslogd кроме "более легкой жизни и моря удовольствия" (или как там автор сказал)

anonymous ()

Re: syslog-ng v1.6.1

у нас у бздуноф и так нормальный syslogd, а вам линуксятникам ище ставить его нужно

anonymous ()
Ответ на: Re: syslog-ng v1.6.1 от anonymous

Re: Re: syslog-ng v1.6.1

млять,ну чё вы гоните..

есть возможность выбора какой сислог себе ставить в систему. syslog-ng - весьма неплохая штука.

лично мне он нравится тем что позволяет фильтровать логи и соответственно перенаправлять их например по регэкспам,что существенно упрощает жизнь,когда логов до жопы,ну и ещё там много чего хорошего :)

anonymous ()
Ответ на: Re: syslog-ng v1.6.1 от anonymous

Re: Re: syslog-ng v1.6.1

А если сислог двано ng и в дистрибутив не входит ?... :-) То, что во всяких RH дефолтом идет, с ng и сравнивать сложно.

Интересно, в BSD функциональность сислога до ng дотягивает ?... ;-)

AS ★★★★★ ()

Re: syslog-ng v1.6.1

расскажите какие его принципиальные отличия от sysklogd, который идёт в большинстве дистрибутивов?

anonymous ()
Ответ на: Re: syslog-ng v1.6.1 от anonymous

Re: Re: syslog-ng v1.6.1

>расскажите какие его принципиальные отличия от sysklogd, который идёт в большинстве дистрибутивов?

ты что дурак? tyt же уже написцали

anonymous ()
Ответ на: Re: Re: syslog-ng v1.6.1 от anonymous

Re: Re: Re: syslog-ng v1.6.1

Если мне не изменяет мой склероз, то он умеет криптографически подписывать логи. Или это про msyslog что-ли...

phicus ()
Ответ на: Re: syslog-ng v1.6.1 от anonymous

Re: Re: syslog-ng v1.6.1

> расскажите какие его принципиальные отличия от sysklogd, который > идёт в большинстве дистрибутивов?

То, что у него на много бОльшие возможности по сортировке сообщений по разным файлам. Если надо организовать syslog-сервер, то без него просто непонятно, что делать. Если в лог сыпется вагон сообщений, то, опять же, непонятно, что без него делать (он меет сообщения пачками сохранять, а не по одному; конечно, тут как плюсы, так и минусы). Ну и т.д.

AS ★★★★★ ()
Ответ на: Re: Re: Re: syslog-ng v1.6.1 от phicus

Re: Re: Re: Re: syslog-ng v1.6.1

> то он умеет криптографически подписывать логи

ты это серьезно, или юмор из серии "хочу шифровать не только своп но и ОЗУ"?:)

dilmah ★★★★★ ()
Ответ на: Re: Re: Re: Re: syslog-ng v1.6.1 от dilmah

Re: Re: Re: Re: Re: syslog-ng v1.6.1

Подпись и шифрование суть разные штуки. Подпись логов вполне оправданная штука, ибо затрудняет заметание следов.

Nefer ()
Ответ на: Re: Re: Re: Re: syslog-ng v1.6.1 от dilmah

Re: Re: Re: Re: Re: syslog-ng v1.6.1

>> то он умеет криптографически подписывать логи

> ты это серьезно, или юмор из серии "хочу шифровать не только своп но и ОЗУ"?:)

dilmah, такой уважаемый человек, а говаришь такие глупости! Я же сказал -- "криптографически подписывать", а не "криптовать". Ну можно эту операцию грубо назвать "взятие fingerprint'a", если так понятнее...

anonymous ()
Ответ на: Re: Re: Re: Re: Re: syslog-ng v1.6.1 от anonymous

Re: Re: Re: Re: Re: Re: syslog-ng v1.6.1

но все равно раз интрудер уже влез, он и ключ подписи может найти. Вообще если он может подделать лог, то что ему мешает подделать подпись. Непонятно как-то..

dilmah ★★★★★ ()
Ответ на: Re: Re: Re: Re: Re: Re: syslog-ng v1.6.1 от dilmah

Re: syslog-ng v1.6.1

1) По персоналиям:

anonymous (12.01.2004 19:38:05) -- это забывший подписаться phicus (а не тот anonymous, который 12.01.2004 20:16:57)

2) По моему скромному мнению:

Не стоит особо обращать внимание на виртуальные грубости, тем более на LOR'е. Здоровья на хватит.

3) По делу:

Схема может быть, например, такой: Ежечасно происходит:
- ротация логов
- сразу после неё -- криптографическая подпись только что сротированных файлов
- получившиеся fingerprint'ы скидываются админу/маинтейнеру в мыло

Если после этого взломщик подделал и логи, и подпись (которая, очевидно, сохранилась где-то в локальной файловой системе), то она будет несоответствовать той, которая лежит в почтовом ящике админа/маинтейнера. Если взломщик подпись не подделал, то при контрольной проверке старая не будет соответствовать новой. Значит, при любом из вариантов log spoofing будет обнаружен.

Вся идея в том, чтобы держать эталонные копии этих подписей на trusted media. Иначе это примерно то же самое, что и держать свой приватный ключ на удалённой системе...

phicus ()
Ответ на: Re: Re: syslog-ng v1.6.1 от dilmah

Re: syslog-ng v1.6.1

В приведённой мной схеме разумнее, конечно, реализовать это в logrotate/newsyslogd. Но ни там, ни там почему-то, такого нет.

Приведённая схема -- простейший пример использовония криптографической подписи. В идеале для гарантии целостности логов надо подписывать каждое сообщение. Затем эти подписи скидывать на trusted media, и в течении какого-то времени через опрёделённые временные интервалы повторять операцию (подписывать и скидывать). Затем на этой самой fingerprint-системе проверять (автоматически, конечно) их на соответствие эталону. Весь вопрос только в процессорном времени...

phicus ()
Ответ на: Re: Re: syslog-ng v1.6.1 от dilmah

Re: Re: Re: syslog-ng v1.6.1

> спасибо

> ну то есть это реально должна быть функция logrotate/newsyslogd
> а не syslogd..:)

Есть способ проще и надежнее... :-)
Уже упомянутый syslog-сервер. Взломщик-то влез. Но логи-то на другом сервере. И он даже посмотреть может, на каком, раз влез. но на тот сервер еще попасть надо. А время уже пошло.

AS ★★★★★ ()
Ответ на: Re: Re: Re: syslog-ng v1.6.1 от AS

Re: syslog-ng v1.6.1

> Есть способ проще и надежнее... :-)

Не, не так...

Взломщик-то влез. Но логи-то уже из принтера полезли. И он даже посмотреть может, на каком порту принтер висит, раз влез. Но до этого прентера ещё добежать надо. Через Атлантику, например... Каково, а?... А время уже пошло......

regards

phicus ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Open Source