Добрый день всем!
Имеется специальная программа доступа к базе данных, содержащей "закрытые" данные. Как определить (логирование, аудит, еще что-то?), кто, когда (и, желательно, с какого IP) запускал эту программу?
Сисадмин ничего не может предложить, кроме списка логинившихся юзеров и списка запускаемых программ (без привязки одного списка к другому).
Пожалуйста, помогите, подскажите метод, софт, что угодно, лишь бы работало.
С уважением
Сергей
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Последний раз редактировалось Lexxus; 09.02.2010 в 23:11.
Я против коррупции.
http://strike.migraph.ru - CS 1.6 server (CentOS) (не работает, нет финансирования)
Спасибо, сейчас посмотрю!
Добавлено через 30 минут
Мне кажется, это не совсем то, что мне нужно
Передо мной не стоит задача пресекать "незаконные" запуски этой программы (хорошо бы, но нет времени и возможности следить за несколькими сотнями сотрудников), а postfactum (например, на следущий день) просмотреть лог и отметить легальные и нелегальный запуски.
Последний раз редактировалось SergeS; 09.02.2010 в 23:36. Причина: Добавлено
acct-
Утилиты GNU для просмотра статистики по времени работы и по программам, выполняемым пользователями
GNU Accounting Utilities — это набор утилит для
сбора данных о длительности сеансов
работы пользователей в системе и
выполняемым процессам.
Login accounting предоставляет информацию об
использовании системных ресурсов,
основываясь на времени подключения, и
process accounting - на основе команд,
выполненных в системе.
Команда last теперь включена в пакет sysvinit.-это?
Если у тебя нет паранойи,это не значит,что за тобой не следят
- дык, наверное, это и имел ввиду Сисадмин, который "ничего не может предложить, кроме списка логинившихся юзеров и списка запускаемых программ (без привязки одного списка к другому)."Сообщение от rdog
Добавлено через минуту
- нужно бы уточнить о какой системе управления базами данных(СУБД) тут идет речь, а уже потом, исходя из имеющегося в её составе "инструментария", думать как решить конкретную задачу...
Последний раз редактировалось Alex Plutoff; 11.02.2010 в 19:18. Причина: Добавлено
С уважением,
Alex Plutoff
А. ПЛАТОВ
Именно это - команды last и history
Средствами СУБД (Oracle) задача, увы, не решается, так же как и средствами системы, следящей за коннектами извне непосредственно к базе (Guardium), т.к. с точки зрения базы "легальные" вызовы ничем не отличаются от "нелегальных".
Поэтому и возникла идея мониторить логи с целью засечь несанкционированный запуск спец-программы и определить юзера (login) и, по возможности, IP, c которого он коннектился.
- странно, разработчики Oracle утверждают, что их СУБД способна обеспечить достаточно строгий контроль и учет доступа...
- ну, а если собственных механизмов Oracle для контроля и учета доступа недостаточно, то наверное есть смысл использовать сторонние СКУД(системы контроля и управления доступом), но вряд ли такие есть в числе свободно-распространяемых, скорее всего, придётся платить денежку...
Добавлено через 17 минут
P.S. ...вот, кстати, наткнулся на описание достаточно мощного инструмента аудита и мониторинга баз данных от Oracle http://www.oracle.com/global/ru/press/ppr/16022009.html
-
Последний раз редактировалось Alex Plutoff; 12.02.2010 в 15:04. Причина: Добавлено
С уважением,
Alex Plutoff
А. ПЛАТОВ
Все правильно насчет Oracle, и за стороннюю систему контроля (Guardium) денежки уже заплачены
Одно маленькое "Но!"
Доступ к закрытым данным организован таким образом, что конектится всегда один и тот же юзер БД, с одного и того же "внутреннего" IP, с использованием одного и того же программного механизма. Именно поэтому ни Oracle, ни Guardium не могут отличить один коннект от другого
Существует два различных способа получения закрытых данных:
- "программный" вызов из другой БД (на которой крутится основная система)
- "ручной" вызов из той самой программы, доступ к которой надо мониторить.
Проблема состоит в том, что не доказано отсутствие в этой программе "back door", которая может использоваться злоумышленником для доступа к "закрытым" данным.
PS Прямой доступ к "закрытой" базе возможен, но бесполезен, т.к. данные закодированы; декодирование произволится упомянутым выше программным механизмом. Поэтому мне нужно следить за "ручным" вызовом программы.
Ваши права в разделе
Ответить с цитированием
