Politique de Logging
|
19-08-2013, 09h02
Message : #5
|
|
0pc0deFR Non-enregistré |
RE: Politique de Logging
De mon point de vu, ça dépend ce que l'on souhaite récupérer des logs. Si l'on veut une preuve d'intrusion, l'attaquant qui va s'introduire dans le serveur ne pourra dans un premier temps pas supprimer/modifier les logs (jusqu'à élévation de privilège). Ces premières informations qui peuvent prouver l'intrusion peuvent donc être considérées comme sûr. Maintenant, si ce qu'on veut c'est la preuve d'un maintien d'accès frauduleux sur le serveur, là c'est déjà plus compliqué effectivement car cela implique que l'intrus est déjà dans la machine et qui plus est, bien installé sur cette dernière. Comme dit plus haut, dans ce cas, l'idée est de compliquer la tache à l'intrus mais rien ne peut être sûr. Reste les logs réseaux (routeurs, firewalls, switchs, etc) qui peuvent démontrer qu'un machine est compromise mais qui ne démontreras pas comment.
Pour ce qui est des MTA c'est assez chiant, c'est sûr mais ça ce fait. Le plus simple à mon gout c'est de stocker ça sur un serveur de sauvegardes sur le réseau (ou deux si vous avez peur de la dispo). |
|
« Sujet précédent | Sujet suivant »
|
Messages dans ce sujet |
Politique de Logging - par InstinctHack - 19-08-2013, 02h15
RE: Politique de Logging - par notfound - 19-08-2013, 03h06
RE: Politique de Logging - par InstinctHack - 19-08-2013, 03h11
RE: Politique de Logging - par Jek0 - 19-08-2013, 09h00
RE: Politique de Logging - par 0pc0deFR - 19-08-2013, 09h02
RE: Politique de Logging - par Jek0 - 19-08-2013, 11h37
RE: Politique de Logging - par notfound - 19-08-2013, 14h39
|
Utilisateur(s) parcourant ce sujet : 2 visiteur(s)