-
Junior Member
- Вес репутации
- 52
Linux - как определить, кто (и когда) запускал определенную программу?
Добрый день всем!
Имеется специальная программа доступа к базе данных, содержащей "закрытые" данные. Как определить (логирование, аудит, еще что-то?), кто, когда (и, желательно, с какого IP) запускал эту программу?
Сисадмин ничего не может предложить, кроме списка логинившихся юзеров и списка запускаемых программ (без привязки одного списка к другому).
Пожалуйста, помогите, подскажите метод, софт, что угодно, лишь бы работало.
С уважением
Сергей
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Последний раз редактировалось Lexxus; 09.02.2010 в 23:11.
Я против коррупции.
http://strike.migraph.ru - CS 1.6 server (CentOS) (не работает, нет финансирования)
-
-
Junior Member
- Вес репутации
- 52
Спасибо, сейчас посмотрю!
Добавлено через 30 минут
Мне кажется, это не совсем то, что мне нужно
Передо мной не стоит задача пресекать "незаконные" запуски этой программы (хорошо бы, но нет времени и возможности следить за несколькими сотнями сотрудников), а postfactum (например, на следущий день) просмотреть лог и отметить легальные и нелегальный запуски.
Последний раз редактировалось SergeS; 09.02.2010 в 23:36.
Причина: Добавлено
-
acct-
Утилиты GNU для просмотра статистики по времени работы и по программам, выполняемым пользователями
GNU Accounting Utilities — это набор утилит для
сбора данных о длительности сеансов
работы пользователей в системе и
выполняемым процессам.
Login accounting предоставляет информацию об
использовании системных ресурсов,
основываясь на времени подключения, и
process accounting - на основе команд,
выполненных в системе.
Команда last теперь включена в пакет sysvinit.-это?
Если у тебя нет паранойи,это не значит,что за тобой не следят
-
Сообщение от
rdog
acct-
Утилиты GNU для просмотра статистики по времени работы и по программам, выполняемым пользователями
GNU Accounting Utilities — это набор утилит для
сбора данных о длительности сеансов
работы пользователей в системе и
выполняемым процессам.
Login accounting предоставляет информацию об
использовании системных ресурсов,
основываясь на времени подключения, и
process accounting - на основе команд,
выполненных в системе.
Команда last теперь включена в пакет sysvinit.-это?
- дык, наверное, это и имел ввиду Сисадмин, который "ничего не может предложить, кроме списка логинившихся юзеров и списка запускаемых программ (без привязки одного списка к другому)."
Добавлено через минуту
- нужно бы уточнить о какой системе управления базами данных(СУБД) тут идет речь, а уже потом, исходя из имеющегося в её составе "инструментария", думать как решить конкретную задачу...
Последний раз редактировалось Alex Plutoff; 11.02.2010 в 19:18.
Причина: Добавлено
С уважением,
Alex Plutoff
А. ПЛАТОВ
-
-
Junior Member
- Вес репутации
- 52
Сообщение от
Alex Plutoff
дык, наверное, это и имел ввиду Сисадмин
Именно это - команды last и history
Средствами СУБД (Oracle) задача, увы, не решается, так же как и средствами системы, следящей за коннектами извне непосредственно к базе (Guardium), т.к. с точки зрения базы "легальные" вызовы ничем не отличаются от "нелегальных".
Поэтому и возникла идея мониторить логи с целью засечь несанкционированный запуск спец-программы и определить юзера (login) и, по возможности, IP, c которого он коннектился.
-
- странно, разработчики Oracle утверждают, что их СУБД способна обеспечить достаточно строгий контроль и учет доступа...
- ну, а если собственных механизмов Oracle для контроля и учета доступа недостаточно, то наверное есть смысл использовать сторонние СКУД(системы контроля и управления доступом), но вряд ли такие есть в числе свободно-распространяемых, скорее всего, придётся платить денежку...
Добавлено через 17 минут
P.S. ...вот, кстати, наткнулся на описание достаточно мощного инструмента аудита и мониторинга баз данных от Oracle http://www.oracle.com/global/ru/press/ppr/16022009.html
-
Последний раз редактировалось Alex Plutoff; 12.02.2010 в 15:04.
Причина: Добавлено
С уважением,
Alex Plutoff
А. ПЛАТОВ
-
-
Junior Member
- Вес репутации
- 52
Все правильно насчет Oracle, и за стороннюю систему контроля (Guardium) денежки уже заплачены
Одно маленькое "Но!"
Доступ к закрытым данным организован таким образом, что конектится всегда один и тот же юзер БД, с одного и того же "внутреннего" IP, с использованием одного и того же программного механизма. Именно поэтому ни Oracle, ни Guardium не могут отличить один коннект от другого
Существует два различных способа получения закрытых данных:
- "программный" вызов из другой БД (на которой крутится основная система)
- "ручной" вызов из той самой программы, доступ к которой надо мониторить.
Проблема состоит в том, что не доказано отсутствие в этой программе "back door", которая может использоваться злоумышленником для доступа к "закрытым" данным.
PS Прямой доступ к "закрытой" базе возможен, но бесполезен, т.к. данные закодированы; декодирование произволится упомянутым выше программным механизмом. Поэтому мне нужно следить за "ручным" вызовом программы.