[port139ml:02331] Re: 第2回 ログファイルの改ざん

[KOJIMA Hajime / 小島肇 <kjm@xxxxxxxxxxxxxxxxxx>]

題名: [port139ml:02299] Re: 第2回 ログファイルの改ざん
(<20030215104533.34C6.HIDEAKI@xxxxxxxxxxxxx>) において
Hideaki Ihara さんがおっしゃるには:
| 
| >  これって実は「機能の不足」の言い訳のような気がするんです。本来は、
| >  schg なファイルを操作しようとした時点で alert が上がるべきなので
| >  は。それこそが「検出」だと思うのですが。
| 
| おっしゃる通りだと思います。
| 
| とはいえ、逆にその機能があればよいか？というと、あった
| としても個人的には微妙です(^^;; 無いのは論外ですが...
| 
| 例えば、Windows NT/2000/XP は 監査(Audit) を利用すれば、
| 書き込みを検出可能です。
| ＃Linux なら snare を使ってという感じでしょうか。
| 
| そこまでは OK なんですが、監査 は“無効”にすることが
| 可能ですから、そればかりに頼る(信頼しきる)わけにもいき
| ません。(最近はワームでもそれくらいの機能は持ってますし)
| ＃“無効にされたログが残るだろう”というのは、残る根拠が
| ＃乏しいので個人的にはあてにできないのです。
 
  なるほど。syslogd 書き換えられなくても、落されただけで十分アレで
  すものね。

| 結果、複数の対策を取ることにはなるわけですが、コスト的な
| 問題も発生しますので、あまりコストをかけず、マレなケース
| まで考えたチェックを時々はしようぜ〜というのが最近の布教
| 活動だったりします。
| ＃ゆえに今年はフォレンジックなんですが...

  「時々」がクセモノかなあ。遅くとも毎週くらいで、かなり自動化でき
  るものでないと……。

- kjm