splattne Asked: 2009-05-03 09:09:47 +0800 CST2009-05-03 09:09:47 +0800 CST 2009-05-03 09:09:47 +0800 CST 如何保证日志安全? 772 如果日志文件(或日志数据)包含需要防止被删除、操纵或防止“日志注入”的敏感信息,哪些安全措施被认为是最佳实践? 如果我的日志在法庭上用作证据,我需要证明什么是真实可靠的? log-files security 3 个回答 Voted Best Answer Avery Payne 2009-05-03T09:15:53+08:002009-05-03T09:15:53+08:00 将您的日志集中到强化的服务器上可能会满足您的需求。更好的是,如果您可以将日志记录到强化服务器上的数据库中,您将开启各种可能性。 我不想打扰您,但是您在谈论哪种日志记录?NT 事件日志?Unix(y)系统日志(和朋友)?从小型机登录?更多信息可能会引导您找到您正在寻找的已知解决方案...... 2009-05-18 重新编辑: 如果您可以让所有数据显示为 syslog 样式的条目,那么这对您有用。 对于 Unix(y) 风格的机器,使用盒子里的任何 syslog 工具。您将希望将所有记录到中央日志服务器的数据发送出去,同时保留用于在本地记录日志的库存设置。(稍后会详细介绍) 对于那些不产生“真正的系统日志”输出的 Unix 风格的服务,通常有重新解析器可以将数据重新生成为有用的东西。主要示例:apache和squid具有日志格式,对于大多数安装来说,这些格式未针对 syslog 进行格式化。每半小时(或任何适合您的方式)重新生成该数据。中央日志服务器然后用完并为它的摘要挑选数据。 对于 Windows 风格的机器,请使用NTSyslog,这是一项免费服务,可将事件日志条目分流到网络 syslog 服务器。 提供了涵盖设置的快速操作指南。 一旦所有机器都“记录”,您需要指定一个中央记录服务器。访问Splunk网站并阅读一下;准备好后,将其下载到中央日志服务器,然后安装在这台机器上。免费版每天最多可处理 500Mbyte,除非您有大量的日志记录要处理,否则应该绰绰有余。splunk 服务将接受您的所有 syslog 输入,对其进行分类,并将其存储在本地数据库中。从网页中,您可以过滤、选择、按时间查看事件等。对于查看跨系统的合成图片非常方便。它还可以连接到各种不同的数据“源”,包括平面文件,这意味着这些 apache 和 squid 日志可以通过 splunk 转换为条目(前提是您将它连接到需要它的每台机器)。 此设置的一个有用的副作用是所有本地日志记录数据仍然存在 - 没有任何丢失,因此即使您的中央日志服务器出现故障,日志在其他地方也有效。如果机器丢失(硬盘爆炸、安全漏洞等),您仍然拥有中央服务器上的数据历史记录。 一旦您的所有机器都在进行 syslog'ing 并且您的服务正在 splunk'ing 中,请将所有 syslog 机器指向 splunk 服务器。 K. Brian Kelley 2009-05-03T10:25:53+08:002009-05-03T10:25:53+08:00 从审计的角度来看,您需要某种集中式系统,而其他系统的管理员对其没有管理权限。有很多解决方案可以自动检索日志并将其导出到中央系统。您基本上是在寻找所谓的日志管理或安全信息管理 (SIM) 产品。至于是哪一个,这取决于很多因素,例如预算、内部当前的解决方案等。 从取证的角度来看,最重要的是能够展示监管链,以确立证据未被篡改。这不仅仅是工具。它也是用于在发生安全事件时处理证据的程序,以及随着调查的进行和验证事件是否已发生并进入证据收集和损害评估的程序。对于这类事情,您可能想看看让人们接受适当的SANS事件处理和取证培训。 Lipis 2009-05-19T14:32:57+08:002009-05-19T14:32:57+08:00 如何为每个日志条目添加日志条目的校验和(例如sha1 )。当然,如果有人可以访问这个数据库(或者你要存储日志数据的任何地方),仍然可以添加一个带有有效校验和的假条目。但是如果在生成校验和之前添加一些盐,我认为不可能生成有效的校验和,并且很容易检查它的真实性。
将您的日志集中到强化的服务器上可能会满足您的需求。更好的是,如果您可以将日志记录到强化服务器上的数据库中,您将开启各种可能性。
我不想打扰您,但是您在谈论哪种日志记录?NT 事件日志?Unix(y)系统日志(和朋友)?从小型机登录?更多信息可能会引导您找到您正在寻找的已知解决方案......
2009-05-18 重新编辑:
如果您可以让所有数据显示为 syslog 样式的条目,那么这对您有用。
对于 Unix(y) 风格的机器,使用盒子里的任何 syslog 工具。您将希望将所有记录到中央日志服务器的数据发送出去,同时保留用于在本地记录日志的库存设置。(稍后会详细介绍)
对于那些不产生“真正的系统日志”输出的 Unix 风格的服务,通常有重新解析器可以将数据重新生成为有用的东西。主要示例:apache和squid具有日志格式,对于大多数安装来说,这些格式未针对 syslog 进行格式化。每半小时(或任何适合您的方式)重新生成该数据。中央日志服务器然后用完并为它的摘要挑选数据。
对于 Windows 风格的机器,请使用NTSyslog,这是一项免费服务,可将事件日志条目分流到网络 syslog 服务器。 提供了涵盖设置的快速操作指南。
一旦所有机器都“记录”,您需要指定一个中央记录服务器。访问Splunk网站并阅读一下;准备好后,将其下载到中央日志服务器,然后安装在这台机器上。免费版每天最多可处理 500Mbyte,除非您有大量的日志记录要处理,否则应该绰绰有余。splunk 服务将接受您的所有 syslog 输入,对其进行分类,并将其存储在本地数据库中。从网页中,您可以过滤、选择、按时间查看事件等。对于查看跨系统的合成图片非常方便。它还可以连接到各种不同的数据“源”,包括平面文件,这意味着这些 apache 和 squid 日志可以通过 splunk 转换为条目(前提是您将它连接到需要它的每台机器)。
此设置的一个有用的副作用是所有本地日志记录数据仍然存在 - 没有任何丢失,因此即使您的中央日志服务器出现故障,日志在其他地方也有效。如果机器丢失(硬盘爆炸、安全漏洞等),您仍然拥有中央服务器上的数据历史记录。
一旦您的所有机器都在进行 syslog'ing 并且您的服务正在 splunk'ing 中,请将所有 syslog 机器指向 splunk 服务器。
从审计的角度来看,您需要某种集中式系统,而其他系统的管理员对其没有管理权限。有很多解决方案可以自动检索日志并将其导出到中央系统。您基本上是在寻找所谓的日志管理或安全信息管理 (SIM) 产品。至于是哪一个,这取决于很多因素,例如预算、内部当前的解决方案等。
从取证的角度来看,最重要的是能够展示监管链,以确立证据未被篡改。这不仅仅是工具。它也是用于在发生安全事件时处理证据的程序,以及随着调查的进行和验证事件是否已发生并进入证据收集和损害评估的程序。对于这类事情,您可能想看看让人们接受适当的SANS事件处理和取证培训。
如何为每个日志条目添加日志条目的校验和(例如sha1 )。当然,如果有人可以访问这个数据库(或者你要存储日志数据的任何地方),仍然可以添加一个带有有效校验和的假条目。但是如果在生成校验和之前添加一些盐,我认为不可能生成有效的校验和,并且很容易检查它的真实性。