[port139ml:01721] Re: Process Monitoring Tool

[Hideaki Ihara <hideaki@xxxxxxxxxxxxx>]

Port139 伊原です。

On Thu, 26 Dec 2002 00:08:32 +0900
kawa <kawakawa@xxxxxxxxxxx> wrote:

>妙に召喚されるのででて来ております。

押しかけた方が早いでしょうか？(Y/y)
という冗談はさておき。。。

>きっと↓を読めば宿題が増えます(^^)

あーでも真面目なお話、そこまでログを取得したいとすればカーネルに
パッチを適用するのが筋で？、りょうわさん改良型 procmon 辺りが実用
上では十分かなと思ってますが、どうでしょうかね？
＃ということも含めて宿題にならないように（嘘）って書いたわけで...

個人的な経験からいくとプロセスの実行ログが残っていると、被害診断
をする際にはかなり役立つと考えています。
Windows 系では監査機能を利用すれば比較的簡単に実現可能ですが、
Linux だと私が初心者ということもあってちょっと違和感があるというか
...疑問符が多いです。
＃TASK を日本語対応させる人がでてこないのも興味深い。

>この辺の機能が疑わしかったので、セキュスタではコマンドラインからの
>ログを記録するために、このkernelパッチに加えて、bash,tcsh,zsh,ksh 
>等のシェルのコマンドログを syslog に吐き出すパッチを組み込んで2重
>にログを吐き出すようにしていました。

ハニーポットを作成するとなると、その辺りまで観察というか監視する
必要が出てくる気がしますが、Linux で Honeypot を実際に運用されて
いるかたはどの辺りまでやってるのでしょうか？

CMD.EXE のログ取るのはまた大変なので、シェルのコマンド履歴取得
するのも大変なのかなぁと推測していますが、ハニーポットならいい
としても運用環境でそれほど多くの仕掛けを導入するのは現実問題と
しては厳しいのではないでしょうかね？

政府もオープンソースを推奨するだけでなくて、その手の開発費用と
かツールへお金を投入すると、kawa 氏を召還する回数も減るのに...
と責任を政府へ転嫁してみるテスト ;)

-- 
セミナー受講者募集中！< http://www.port139.co.jp/seminar/seminar_030122.htm >
Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/