[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[port139ml:02367] Re: 第6回 アクセスログの改ざんと検出方法
- To: port139ml@xxxxxxxxxxxxx
- Subject: [port139ml:02367] Re: 第6回 アクセスログの改ざんと検出方法
- From: DANNA <danna@xxxxxxxxxxx>
- Date: Sat, 22 Feb 2003 15:01:01 +0900
ども。ダンナ@サポセンです。
いはらさん
> 私は UNIX のコマンドに詳しくないのでなんとも言えないが、
> 前回改ざんされたコマンドの危険性を指摘し、調査時には安全
> なバイナリ利用を推奨しているのだから、今回の w, last など
> のコマンドは安全なバイナリを利用する方がよいのでは?
あー。やっぱりかみつくんですねヽ(´ー`)ノ
「不正な本」のトキは、本の頭で安全なバイナリについて触れて、その流
れで一気にログの調査を行うまで持っていきましたからねぇ。こういう連
載だと回を跨いで内容を繋げるとかってのは難しいかな。とか、すこし同
情してみせたり。
> 「ログの改ざんを監視するツール」として LogWatch が紹介され
> ているが、だめだめな私には LogWatch で改ざんを監視できるの
> がよくわかりませんでした(T_T)
じつはLogWatch知らなかったりするんですが、ちょろっと調べたかぎりで
は、定期的にログをサマライズしてくれるツールみたいな印象を受けまし
た。これで改ざんチェックは難しいんじゃないかなぁ。
改ざんチェックではないけど、logsurferとかswatchでログファイル中の
キーワードを監視させた方が、不正アクセス対策としてはよさげです。
改ざんを防ぐのであれば、セオリーどおり書き換え不能なメディアとか、
文中でもちろっとだけ触れている、ログのリモート転送が最も効果的で
はないかな。
# 改訂がうーたらとかってのは禁句なので触れるのは避けようヽ(´ー`)ノ
>--------- みっきーのネットワーク研究所 ---------<
> danna@xxxxxxxxxxx Security-Stadium staff <
> sec-sta : http://www.security-stadium.org <
> HP : http://www.hawkeye.ac/micky <
> PGP : http://www.hawkeye.ac/micky/micky.pub <
>------------------------------------------------<