Вопросы Теги

Где и как Ubuntu лог-код?

Если кто-то входит в приглашение оболочки (используя внешний шеллкод и управляя системой перед запуском эксплойта), сообщения журнала Ubuntu записываются в /var/log/lastlog, /var/log/wtmp, /var/log/kern.log, /var/log/syslog или что-то еще? Если это так, как выглядит сообщение журнала? Я знаю только segfault (если ядро ​​сбрасывается), как это одно сообщение в /var/log/kern.log и /var/log/syslog:

Jan 10 11:30:02 ubuntu kernel: [10980.811200] bo1[15439]: segfault at 0 ip 001a7210 sp bfbac640 error 4 in ibc-2.11.1.so[134000+153000]

Или это не так, и мы обречены?

-3
задан 10 January 2018 в 22:34

3 ответа

Не существует общего способа обнаружения атак кода оболочки и, следовательно, для них нет канонического шаблона входа в журнал. Если бы это было возможно, такая атака не создавала бы никакой опасности, поскольку системы обнаружения вторжений могли бы надежно обнаружить и помешать им.

1
ответ дан 17 July 2018 в 23:26

Не существует общего способа обнаружения атак кода оболочки и, следовательно, для них нет канонического шаблона входа в журнал. Если бы это было возможно, такая атака не создавала бы никакой опасности, поскольку системы обнаружения вторжений могли бы надежно обнаружить и помешать им.

1
ответ дан 24 July 2018 в 13:57
  • 1
    Поскольку вы никогда не принимали ответа раньше: если это ответит на ваш вопрос, не забудьте нажать серый ☑ под номером слева от этого текста, чтобы принять его , что означает «да, этот ответ действительно "! – David Foerster 11 January 2018 в 16:06
  • 2
    Спасибо, Дэвид, за ваш ответ! Вероятно, тогда для обеспечения безопасности Ubuntu должен работать на уровне системных вызовов, прежде чем код оболочки войдет в приглашение оболочки. Для этого есть Systrace с интерфейсом gtk, но его развитие было остановлено в 2010 году. @DavidFoerster – Dima 11 January 2018 в 21:42
  • 3
    @Dima: Это должен быть вопрос? В любом случае я не могу понять, что вы говорите. – David Foerster 12 January 2018 в 00:31

Не существует общего способа обнаружения атак кода оболочки и, следовательно, для них нет канонического шаблона входа в журнал. Если бы это было возможно, такая атака не создавала бы никакой опасности, поскольку системы обнаружения вторжений могли бы надежно обнаружить и помешать им.

1
ответ дан 24 July 2018 в 17:02
  • 1
    Поскольку вы никогда не принимали ответа раньше: если это ответит на ваш вопрос, не забудьте нажать серый ☑ под номером слева от этого текста, чтобы принять его , что означает «да, этот ответ действительно "! – David Foerster 11 January 2018 в 16:06
  • 2
    Спасибо, Дэвид, за ваш ответ! Вероятно, тогда для обеспечения безопасности Ubuntu должен работать на уровне системных вызовов, прежде чем код оболочки войдет в приглашение оболочки. Для этого есть Systrace с интерфейсом gtk, но его развитие было остановлено в 2010 году. @DavidFoerster – Dima 11 January 2018 в 21:42
  • 3
    @Dima: Это должен быть вопрос? В любом случае я не могу понять, что вы говорите. – David Foerster 12 January 2018 в 00:31

Другие вопросы по тегам:

Похожие вопросы: