[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[port139ml:02331] Re: 第2回 ログファイルの改ざん
- To: port139ml@xxxxxxxxxxxxx
- Subject: [port139ml:02331] Re: 第2回 ログファイルの改ざん
- From: KOJIMA Hajime / 小島肇 <kjm@xxxxxxxxxxxxxxxxxx>
- Date: Wed, 19 Feb 2003 11:20:01 +0900
題名: [port139ml:02299] Re: 第2回 ログファイルの改ざん
(<20030215104533.34C6.HIDEAKI@xxxxxxxxxxxxx>) において
Hideaki Ihara さんがおっしゃるには:
|
| > これって実は「機能の不足」の言い訳のような気がするんです。本来は、
| > schg なファイルを操作しようとした時点で alert が上がるべきなので
| > は。それこそが「検出」だと思うのですが。
|
| おっしゃる通りだと思います。
|
| とはいえ、逆にその機能があればよいか?というと、あった
| としても個人的には微妙です(^^;; 無いのは論外ですが...
|
| 例えば、Windows NT/2000/XP は 監査(Audit) を利用すれば、
| 書き込みを検出可能です。
| #Linux なら snare を使ってという感じでしょうか。
|
| そこまでは OK なんですが、監査 は“無効”にすることが
| 可能ですから、そればかりに頼る(信頼しきる)わけにもいき
| ません。(最近はワームでもそれくらいの機能は持ってますし)
| #“無効にされたログが残るだろう”というのは、残る根拠が
| #乏しいので個人的にはあてにできないのです。
なるほど。syslogd 書き換えられなくても、落されただけで十分アレで
すものね。
| 結果、複数の対策を取ることにはなるわけですが、コスト的な
| 問題も発生しますので、あまりコストをかけず、マレなケース
| まで考えたチェックを時々はしようぜ〜というのが最近の布教
| 活動だったりします。
| #ゆえに今年はフォレンジックなんですが...
「時々」がクセモノかなあ。遅くとも毎週くらいで、かなり自動化でき
るものでないと……。
- kjm