Que pensez-vous de ce remplaçant à syslog ?
J'ai l'impression qu'il n'est plus trop maintenu, et du coup il
semblerait qu'il disparaisse des distributions (Gentoo, Debain, ...).
C'est embêtant je trouvais de v'erification de l'intégrité plutôt sympa.
Ça ne remplace pas une exporatation des logs mais ça reste moins lourd.
Merci.
- Manu
PS: j'ai trouvé logcrypt qui fait sensiblement la même que le module PEO
de msyslog mais je n'ai pas eu le temps de jeter un coup d'oeil.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Alain Montfranc
Manu avait énoncé :
Que pensez-vous de ce remplaçant à syslog ? J'ai l'impression qu'il n'est plus trop maintenu, et du coup il semblerait qu'il disparaisse des distributions (Gentoo, Debain, ...).
C'est embêtant je trouvais de v'erification de l'intégrité plutôt sympa. Ça ne remplace pas une exporatation des logs mais ça reste moins lourd.
Merci.
- Manu
PS: j'ai trouvé logcrypt qui fait sensiblement la même que le module PEO de msyslog mais je n'ai pas eu le temps de jeter un coup d'oeil.
J'avais utilisé une solution tierce il ya quelques années : export des logs via le reseau sur un serveur avec une partition dédiée en "append only"... Simple et redoutable...
Manu avait énoncé :
Que pensez-vous de ce remplaçant à syslog ?
J'ai l'impression qu'il n'est plus trop maintenu, et du coup il
semblerait qu'il disparaisse des distributions (Gentoo, Debain, ...).
C'est embêtant je trouvais de v'erification de l'intégrité plutôt sympa.
Ça ne remplace pas une exporatation des logs mais ça reste moins lourd.
Merci.
- Manu
PS: j'ai trouvé logcrypt qui fait sensiblement la même que le module PEO
de msyslog mais je n'ai pas eu le temps de jeter un coup d'oeil.
J'avais utilisé une solution tierce il ya quelques années : export des
logs via le reseau sur un serveur avec une partition dédiée en "append
only"... Simple et redoutable...
Que pensez-vous de ce remplaçant à syslog ? J'ai l'impression qu'il n'est plus trop maintenu, et du coup il semblerait qu'il disparaisse des distributions (Gentoo, Debain, ...).
C'est embêtant je trouvais de v'erification de l'intégrité plutôt sympa. Ça ne remplace pas une exporatation des logs mais ça reste moins lourd.
Merci.
- Manu
PS: j'ai trouvé logcrypt qui fait sensiblement la même que le module PEO de msyslog mais je n'ai pas eu le temps de jeter un coup d'oeil.
J'avais utilisé une solution tierce il ya quelques années : export des logs via le reseau sur un serveur avec une partition dédiée en "append only"... Simple et redoutable...
Manu
Xavier wrote:
C'est quoi son nom ?
D'habitude c'est "c'est dans le titre", mais là, même pas.
J'ai changé le titre au dernier moment pour mettre quelquechose de plus générique :) Ceci dit il y avait un indice dans le post-scriptum.
Bon OK, je parlais de msyslog.
Xavier wrote:
C'est quoi son nom ?
D'habitude c'est "c'est dans le titre", mais là, même pas.
J'ai changé le titre au dernier moment pour mettre quelquechose de plus
générique :)
Ceci dit il y avait un indice dans le post-scriptum.
D'habitude c'est "c'est dans le titre", mais là, même pas.
J'ai changé le titre au dernier moment pour mettre quelquechose de plus générique :) Ceci dit il y avait un indice dans le post-scriptum.
Bon OK, je parlais de msyslog.
Nicob
On Tue, 12 Apr 2005 16:21:04 +0000, Alain Montfranc wrote:
export des logs via le reseau sur un serveur avec une partition dédiée en "append only"... Simple et redoutable...
Si c'est le bon vieux Syslog (en UDP) qui est utilisé, il reste toujours à l'attaquant la possibilité de remplir la partition dédiée aux logs, et de mener son attaque ensuite :
http://p.ulh.as/xploitsdb/mUNIXes/4650.html
Nicob
On Tue, 12 Apr 2005 16:21:04 +0000, Alain Montfranc wrote:
export des logs via le reseau sur un serveur avec une partition
dédiée en "append only"... Simple et redoutable...
Si c'est le bon vieux Syslog (en UDP) qui est utilisé, il reste toujours
à l'attaquant la possibilité de remplir la partition dédiée aux logs,
et de mener son attaque ensuite :
On Tue, 12 Apr 2005 16:21:04 +0000, Alain Montfranc wrote:
export des logs via le reseau sur un serveur avec une partition dédiée en "append only"... Simple et redoutable...
Si c'est le bon vieux Syslog (en UDP) qui est utilisé, il reste toujours à l'attaquant la possibilité de remplir la partition dédiée aux logs, et de mener son attaque ensuite :
http://p.ulh.as/xploitsdb/mUNIXes/4650.html
Nicob
Alain Montfranc
Nicob a pensé très fort :
Si c'est le bon vieux Syslog (en UDP) qui est utilisé, il reste toujours à l'attaquant la possibilité de remplir la partition dédiée aux logs, et de mener son attaque ensuite :
J'ai oublié de précisé que la partie log était accessible uniquement sur un reseau privé non routé. Une telle attaque ne pourrait se faire qu'apres compromission des machines loguante, attaque qui laisserait *deja* des logs dans le syslog avant son remplissage.
En outre un tel remplissage donne la possibilité d'une alerte => l'attaque ne passe pas inapercue.
Donc, oui ca n'est pas infaillible, mais ca a tout de meme de sacres avantages ;-)
Nicob a pensé très fort :
Si c'est le bon vieux Syslog (en UDP) qui est utilisé, il reste toujours
à l'attaquant la possibilité de remplir la partition dédiée aux logs,
et de mener son attaque ensuite :
J'ai oublié de précisé que la partie log était accessible uniquement
sur un reseau privé non routé. Une telle attaque ne pourrait se faire
qu'apres compromission des machines loguante, attaque qui laisserait
*deja* des logs dans le syslog avant son remplissage.
En outre un tel remplissage donne la possibilité d'une alerte =>
l'attaque ne passe pas inapercue.
Donc, oui ca n'est pas infaillible, mais ca a tout de meme de sacres
avantages ;-)
Si c'est le bon vieux Syslog (en UDP) qui est utilisé, il reste toujours à l'attaquant la possibilité de remplir la partition dédiée aux logs, et de mener son attaque ensuite :
J'ai oublié de précisé que la partie log était accessible uniquement sur un reseau privé non routé. Une telle attaque ne pourrait se faire qu'apres compromission des machines loguante, attaque qui laisserait *deja* des logs dans le syslog avant son remplissage.
En outre un tel remplissage donne la possibilité d'une alerte => l'attaque ne passe pas inapercue.
Donc, oui ca n'est pas infaillible, mais ca a tout de meme de sacres avantages ;-)
Denis Jourdain
Manu avait énoncé :
Que pensez-vous de ce remplaçant à syslog ? J'ai l'impression qu'il n'est plus trop maintenu, et du coup il semblerait qu'il disparaisse des distributions (Gentoo, Debain, ...).
C'est embêtant je trouvais de v'erification de l'intégrité plutôt sympa. Ça ne remplace pas une exporatation des logs mais ça reste moins lourd.
Merci.
- Manu
PS: j'ai trouvé logcrypt qui fait sensiblement la même que le module PEO de msyslog mais je n'ai pas eu le temps de jeter un coup d'oeil.
J'avais utilisé une solution tierce il ya quelques années : export des logs via le reseau sur un serveur avec une partition dédiée en "append only"... Simple et redoutable...
On ma donnée une autre methode recemment :
Il est beaucoup plus simple d'utiliser un sniffer passif sur une machine dediée qui ne fait tourner aucun serveur. De cette façon, l'attaquant n'a aucune prise à distance sur cette machine et l'IDS enregistre tout le traffic reseau.
Amicalement
Denis
-- Un inconnu du nom de Mailer-Daemon reçoit mes mails. Comment cela est possible ? Comment l'eviter. Répondre très rapidement, car mon mois d'essai se termine ce soir, et je suis très inquiete de ce piratage ? -+- Exorcisme dans le gnu -+-
Manu avait énoncé :
Que pensez-vous de ce remplaçant à syslog ?
J'ai l'impression qu'il n'est plus trop maintenu, et du coup il
semblerait qu'il disparaisse des distributions (Gentoo, Debain, ...).
C'est embêtant je trouvais de v'erification de l'intégrité plutôt sympa.
Ça ne remplace pas une exporatation des logs mais ça reste moins lourd.
Merci.
- Manu
PS: j'ai trouvé logcrypt qui fait sensiblement la même que le module PEO
de msyslog mais je n'ai pas eu le temps de jeter un coup d'oeil.
J'avais utilisé une solution tierce il ya quelques années : export des
logs via le reseau sur un serveur avec une partition dédiée en "append
only"... Simple et redoutable...
On ma donnée une autre methode recemment :
Il est beaucoup plus simple d'utiliser un sniffer passif sur une machine
dediée qui ne fait tourner aucun serveur. De cette façon, l'attaquant
n'a aucune prise à distance sur cette machine et l'IDS enregistre tout
le traffic reseau.
Amicalement
Denis
--
Un inconnu du nom de Mailer-Daemon reçoit mes mails. Comment cela est
possible ? Comment l'eviter. Répondre très rapidement, car mon mois
d'essai se termine ce soir, et je suis très inquiete de ce piratage ?
-+- Exorcisme dans le gnu -+-
Que pensez-vous de ce remplaçant à syslog ? J'ai l'impression qu'il n'est plus trop maintenu, et du coup il semblerait qu'il disparaisse des distributions (Gentoo, Debain, ...).
C'est embêtant je trouvais de v'erification de l'intégrité plutôt sympa. Ça ne remplace pas une exporatation des logs mais ça reste moins lourd.
Merci.
- Manu
PS: j'ai trouvé logcrypt qui fait sensiblement la même que le module PEO de msyslog mais je n'ai pas eu le temps de jeter un coup d'oeil.
J'avais utilisé une solution tierce il ya quelques années : export des logs via le reseau sur un serveur avec une partition dédiée en "append only"... Simple et redoutable...
On ma donnée une autre methode recemment :
Il est beaucoup plus simple d'utiliser un sniffer passif sur une machine dediée qui ne fait tourner aucun serveur. De cette façon, l'attaquant n'a aucune prise à distance sur cette machine et l'IDS enregistre tout le traffic reseau.
Amicalement
Denis
-- Un inconnu du nom de Mailer-Daemon reçoit mes mails. Comment cela est possible ? Comment l'eviter. Répondre très rapidement, car mon mois d'essai se termine ce soir, et je suis très inquiete de ce piratage ? -+- Exorcisme dans le gnu -+-
Cedric Blancher
Le Thu, 14 Apr 2005 11:34:55 +0000, Denis Jourdain a écrit :
Il est beaucoup plus simple d'utiliser un sniffer passif sur une machine dediée qui ne fait tourner aucun serveur. De cette façon, l'attaquant n'a aucune prise à distance sur cette machine et l'IDS enregistre tout le traffic reseau.
C'est la méthode utilisée par Sebek. Ceci dit, on peut tout à fait pirater cette machine si le logiciel qui traite les trames présente un vulnérabilité. Un ver a exploité une telle faille sur les sondes ISS il y quelques temps.
-- Mvscp2 sur Dreamcast c'est comme un trip 640x480 sur une geforce2 -+- GaVaGe in GPJ: Bad Trip en vue -+-
Le Thu, 14 Apr 2005 11:34:55 +0000, Denis Jourdain a écrit :
Il est beaucoup plus simple d'utiliser un sniffer passif sur une machine
dediée qui ne fait tourner aucun serveur. De cette façon, l'attaquant
n'a aucune prise à distance sur cette machine et l'IDS enregistre tout
le traffic reseau.
C'est la méthode utilisée par Sebek. Ceci dit, on peut tout à fait
pirater cette machine si le logiciel qui traite les trames présente un
vulnérabilité. Un ver a exploité une telle faille sur les sondes ISS il
y quelques temps.
--
Mvscp2 sur Dreamcast c'est comme un trip 640x480 sur une geforce2
-+- GaVaGe in GPJ: Bad Trip en vue -+-
Le Thu, 14 Apr 2005 11:34:55 +0000, Denis Jourdain a écrit :
Il est beaucoup plus simple d'utiliser un sniffer passif sur une machine dediée qui ne fait tourner aucun serveur. De cette façon, l'attaquant n'a aucune prise à distance sur cette machine et l'IDS enregistre tout le traffic reseau.
C'est la méthode utilisée par Sebek. Ceci dit, on peut tout à fait pirater cette machine si le logiciel qui traite les trames présente un vulnérabilité. Un ver a exploité une telle faille sur les sondes ISS il y quelques temps.
-- Mvscp2 sur Dreamcast c'est comme un trip 640x480 sur une geforce2 -+- GaVaGe in GPJ: Bad Trip en vue -+-
