LINUX.ORG.RU

ну и кому эта новость нужна? всё равно никто в здравом уме себе syslog обновлять не будет по крайней мере до обновления всего дистрибутива

anonymous
()

а какие его преимущества над syslogd кроме "более легкой жизни и моря удовольствия" (или как там автор сказал)

anonymous
()

у нас у бздуноф и так нормальный syslogd, а вам линуксятникам ище ставить его нужно

anonymous
()
Ответ на: комментарий от anonymous

млять,ну чё вы гоните..

есть возможность выбора какой сислог себе ставить в систему. syslog-ng - весьма неплохая штука.

лично мне он нравится тем что позволяет фильтровать логи и соответственно перенаправлять их например по регэкспам,что существенно упрощает жизнь,когда логов до жопы,ну и ещё там много чего хорошего :)

anonymous
()
Ответ на: комментарий от anonymous

А если сислог двано ng и в дистрибутив не входит ?... :-) То, что во всяких RH дефолтом идет, с ng и сравнивать сложно.

Интересно, в BSD функциональность сислога до ng дотягивает ?... ;-)

AS ★★★★★
()

расскажите какие его принципиальные отличия от sysklogd, который идёт в большинстве дистрибутивов?

anonymous
()
Ответ на: комментарий от anonymous

>расскажите какие его принципиальные отличия от sysklogd, который идёт в большинстве дистрибутивов?

ты что дурак? tyt же уже написцали

anonymous
()
Ответ на: комментарий от anonymous

Если мне не изменяет мой склероз, то он умеет криптографически подписывать логи. Или это про msyslog что-ли...

phicus
()
Ответ на: комментарий от anonymous

> расскажите какие его принципиальные отличия от sysklogd, который > идёт в большинстве дистрибутивов?

То, что у него на много бОльшие возможности по сортировке сообщений по разным файлам. Если надо организовать syslog-сервер, то без него просто непонятно, что делать. Если в лог сыпется вагон сообщений, то, опять же, непонятно, что без него делать (он меет сообщения пачками сохранять, а не по одному; конечно, тут как плюсы, так и минусы). Ну и т.д.

AS ★★★★★
()
Ответ на: комментарий от phicus

> то он умеет криптографически подписывать логи

ты это серьезно, или юмор из серии "хочу шифровать не только своп но и ОЗУ"?:)

dilmah ★★★★★
()
Ответ на: комментарий от dilmah

Подпись и шифрование суть разные штуки. Подпись логов вполне оправданная штука, ибо затрудняет заметание следов.

Nefer
()
Ответ на: комментарий от dilmah

>> то он умеет криптографически подписывать логи

> ты это серьезно, или юмор из серии "хочу шифровать не только своп но и ОЗУ"?:)

dilmah, такой уважаемый человек, а говаришь такие глупости! Я же сказал -- "криптографически подписывать", а не "криптовать". Ну можно эту операцию грубо назвать "взятие fingerprint'a", если так понятнее...

anonymous
()
Ответ на: комментарий от anonymous

но все равно раз интрудер уже влез, он и ключ подписи может найти. Вообще если он может подделать лог, то что ему мешает подделать подпись. Непонятно как-то..

dilmah ★★★★★
()
Ответ на: комментарий от dilmah

потому что вы, господин дилмах глупец!
перестантье корчить из себя умного, смешно выглядит ...

anonymous
()
Ответ на: комментарий от dilmah

1) По персоналиям:

anonymous (12.01.2004 19:38:05) -- это забывший подписаться phicus (а не тот anonymous, который 12.01.2004 20:16:57)

2) По моему скромному мнению:

Не стоит особо обращать внимание на виртуальные грубости, тем более на LOR'е. Здоровья на хватит.

3) По делу:

Схема может быть, например, такой: Ежечасно происходит:
- ротация логов
- сразу после неё -- криптографическая подпись только что сротированных файлов
- получившиеся fingerprint'ы скидываются админу/маинтейнеру в мыло

Если после этого взломщик подделал и логи, и подпись (которая, очевидно, сохранилась где-то в локальной файловой системе), то она будет несоответствовать той, которая лежит в почтовом ящике админа/маинтейнера. Если взломщик подпись не подделал, то при контрольной проверке старая не будет соответствовать новой. Значит, при любом из вариантов log spoofing будет обнаружен.

Вся идея в том, чтобы держать эталонные копии этих подписей на trusted media. Иначе это примерно то же самое, что и держать свой приватный ключ на удалённой системе...

phicus
()
Ответ на: комментарий от dilmah

В приведённой мной схеме разумнее, конечно, реализовать это в logrotate/newsyslogd. Но ни там, ни там почему-то, такого нет.

Приведённая схема -- простейший пример использовония криптографической подписи. В идеале для гарантии целостности логов надо подписывать каждое сообщение. Затем эти подписи скидывать на trusted media, и в течении какого-то времени через опрёделённые временные интервалы повторять операцию (подписывать и скидывать). Затем на этой самой fingerprint-системе проверять (автоматически, конечно) их на соответствие эталону. Весь вопрос только в процессорном времени...

phicus
()
Ответ на: комментарий от dilmah

> спасибо

> ну то есть это реально должна быть функция logrotate/newsyslogd
> а не syslogd..:)

Есть способ проще и надежнее... :-)
Уже упомянутый syslog-сервер. Взломщик-то влез. Но логи-то на другом сервере. И он даже посмотреть может, на каком, раз влез. но на тот сервер еще попасть надо. А время уже пошло.

AS ★★★★★
()
Ответ на: комментарий от AS

> Есть способ проще и надежнее... :-)

Не, не так...

Взломщик-то влез. Но логи-то уже из принтера полезли. И он даже посмотреть может, на каком порту принтер висит, раз влез. Но до этого прентера ещё добежать надо. Через Атлантику, например... Каково, а?... А время уже пошло......

regards

phicus
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Open Source