Megérkezett a FreeBSD-be a Distributed audit daemon

Közzétéve Szerző HUP

A biztonsági események logolásának egyik fő oka az, hogy egy esetleges rendszerkompromittálás után a post-mortem analízis elvégezhető legyen. A FreeBSD kernel jelenleg vagy közvetlenül helyi fájlba tudja betolni az audit rekordokat, vagy a /dev/auditpipe eszközön keresztül tudja őket elérhetővé tenni. Az auditálás általában az auditált szerver naplófájlján, naplófájljain alapszik. Ez nyilvánvalóan nem szerencsés, mert a szerver kompromittálása esetén a támadó hozzáférhet a naplófájl(ok)hoz és módosíthatja az(oka)t, eltüntetve aktivitásának nyomait.

The auditdistd daemon TCP/IP hálózaton keresztül továbbítja az audit rekordokat a helyi rendszerről egy távoli rendszerre amely szintén futtat auditdistd daemont.

Robert N M Watson tegnap bejelentette, hogy commitolta az utolsó kódrészeket, amelyek ahhoz szükségesek, hogy a felhasználó telepíthesse a nemrég beolvasztott Audit Distribution Daemon-t (auditdistd). A auditdistd Pawel Dawidek munkájának és a FreeBSD Foundation szponzorációjának köszönhetően kerülhetett a FreeBSD-be.

Watson megjegyezte, hogy a FreeBSD.org cluster ellen nemrég elkövetett támadás bebizonyította, hogy nagyon nem mindegy, hogy a tényfeltáró munka során rendelkezésre állnak-e megbízható és részletes audit logok vagy sem. Watson reméli, hogy a auditdistd birtokában a FreeBSD projekt (és a projekt felhasználói) sokkal jobb tényfeltáró munkát végezhet a jövőben.

Részletek a bejelentésben.