[port139ml:01724] Re: Process Monitoring Tool

[kawa <kawakawa@xxxxxxxxxxx>]

kawa です。

Hideaki Ihara <hideaki@xxxxxxxxxxxxx> wrote:

> >妙に召喚されるのででて来ております。
> 
> 押しかけた方が早いでしょうか？(Y/y)
> という冗談はさておき。。。

押しかけていただいた際にはお茶とkernelの再構築くらいは
お出しできるかと思います。

> >きっと↓を読めば宿題が増えます(^^)
> 
> あーでも真面目なお話、そこまでログを取得したいとすればカーネルに
> パッチを適用するのが筋で？、りょうわさん改良型 procmon 辺りが実用
> 上では十分かなと思ってますが、どうでしょうかね？
> ＃ということも含めて宿題にならないように（嘘）って書いたわけで...

確かに pwd 自体のログは取れなくても、その他のログが膨大に取れる
ので十分といえば十分ですよねえ。

> 個人的な経験からいくとプロセスの実行ログが残っていると、被害診断
> をする際にはかなり役立つと考えています。
> Windows 系では監査機能を利用すれば比較的簡単に実現可能ですが、
> Linux だと私が初心者ということもあってちょっと違和感があるというか
> ...疑問符が多いです。

逆に、私はその「比較的簡単に実現可能」な部分の詳細が知りたい(^^;


> ハニーポットを作成するとなると、その辺りまで観察というか監視する
> 必要が出てくる気がしますが、Linux で Honeypot を実際に運用されて
> いるかたはどの辺りまでやってるのでしょうか？

ちなみにうちの例ですと tcpflow,tcpdump でコネクションを見てて、
ホスト自身には kernel やシェルのパッチを組み込んでます。普段は
tcpflow とかのログは見てませんけど、何かあったら参照するのに
使ってます。

> CMD.EXE のログ取るのはまた大変なので、シェルのコマンド履歴取得
> するのも大変なのかなぁと推測していますが、ハニーポットならいい
> としても運用環境でそれほど多くの仕掛けを導入するのは現実問題と
> しては厳しいのではないでしょうかね？

実際に業務などで運用するなら、こんなに面倒なことはしませんね(^^;
何より面倒なのがkernelやシェルのバージョンアップに伴って、既存の
パッチに自分で手を入れる必要があったりとか、集めたログをどうする
のかとかも問題になりますし。

まあ趣味ってのもあるので、取れるログだったらとりあえずディスクが
許す限りはなんでも記録しておこうかなと。

> 政府もオープンソースを推奨するだけでなくて、その手の開発費用と
> かツールへお金を投入すると、kawa 氏を召還する回数も減るのに...
> と責任を政府へ転嫁してみるテスト ;)

VineLinuxSecurityWatchTeam では常に人員を募集してますヽ(´ー｀)ノ


かわぐち/kawa
kawakawa@xxxxxxxxxxx
最近寒くなってきました・・・・