Ответы пользователя по тегу Журналирование
  • Лог действий полльзователя?

    @Stanislavvv
    Linux System Administrator
    В линуксе демон auditd является штатным инструментом такого контроля.
    Предложенные inotify далеко не всегда во-время могут отследить изменения файлов при их большом количестве (упираются в лимиты) и вообще не предназначены для обеспечения безопасности.
    Ответ написан
    Комментировать
  • Лучшие практики по созданию лаборатории для работы с чувствительными данными?

    @Stanislavvv
    Linux System Administrator
    1. LDAP (пользователи, логины/пароли, доступ в соответствующие места и т.п.) + Kerberos (ради авторизации через етокены) + NFS (домашние каталоги пользователей). АРМ пользователей - взаимозаменяемы.
    политики безопасности в явном виде в линуксе не применялись, делалось настройкой АРМ и расстановкой групп для пользователя (типа - юзер такой-то входит в группу disk, группе disk разрешено монтировать флешки).
    В качестве LDAP использовался Centos DS, АРМ - на Debian (образ готовился заранее и тупо заливался на диск при необходимости техподдержкой пользователей). NFS - один сервер на примерно 200 человек, проблемы с производительностью возникали только во время массового включения компов (упирались в iops дисков, а не в сеть).

    2. доступ в инет осуществлялся через прокси с авторизацией (см. LDAP). Кого надо - пускаем везде, кого надо - на белый список, остальные идут подальше. Ну и анализ логов, учёт трафика и т.п.

    3. журналирование - как настроишь (логи тыканья мышкой вряд ли возможны, логи открытия файлов - применялись). Централизованное хранение - при помощи форвардинга логов в сервер. Практически все syslog'и такое умеют, достаточно прочитать документацию.

    4. не видел для установки на каждое рабочее место. По сети - использовался SNORT с кучей правил.
    Ответ написан
    3 комментария