Показано с 1 по 8 из 8.

Linux - как определить, кто (и когда) запускал определенную программу?

  1. #1
    Junior Member Репутация
    Регистрация
    09.02.2010
    Сообщений
    4
    Вес репутации
    29

    Linux - как определить, кто (и когда) запускал определенную программу?

    Добрый день всем!

    Имеется специальная программа доступа к базе данных, содержащей "закрытые" данные. Как определить (логирование, аудит, еще что-то?), кто, когда (и, желательно, с какого IP) запускал эту программу?
    Сисадмин ничего не может предложить, кроме списка логинившихся юзеров и списка запускаемых программ (без привязки одного списка к другому).

    Пожалуйста, помогите, подскажите метод, софт, что угодно, лишь бы работало.

    С уважением

    Сергей

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Lexxus
    Регистрация
    27.10.2006
    Адрес
    г. Химки
    Сообщений
    494
    Вес репутации
    414
    Последний раз редактировалось Lexxus; 09.02.2010 в 23:11.
    Я против коррупции.

    http://strike.migraph.ru - CS 1.6 server (CentOS) (не работает, нет финансирования)




  4. #3
    Junior Member Репутация
    Регистрация
    09.02.2010
    Сообщений
    4
    Вес репутации
    29
    Спасибо, сейчас посмотрю!

    Добавлено через 30 минут

    Мне кажется, это не совсем то, что мне нужно

    Передо мной не стоит задача пресекать "незаконные" запуски этой программы (хорошо бы, но нет времени и возможности следить за несколькими сотнями сотрудников), а postfactum (например, на следущий день) просмотреть лог и отметить легальные и нелегальный запуски.
    Последний раз редактировалось SergeS; 09.02.2010 в 23:36. Причина: Добавлено

  5. #4
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rdog
    Регистрация
    08.11.2007
    Сообщений
    527
    Вес репутации
    302
    acct-
    Утилиты GNU для просмотра статистики по времени работы и по программам, выполняемым пользователями
    GNU Accounting Utilities — это набор утилит для
    сбора данных о длительности сеансов
    работы пользователей в системе и
    выполняемым процессам.

    Login accounting предоставляет информацию об
    использовании системных ресурсов,
    основываясь на времени подключения, и
    process accounting - на основе команд,
    выполненных в системе.

    Команда last теперь включена в пакет sysvinit.-это?
    Если у тебя нет паранойи,это не значит,что за тобой не следят

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Alex Plutoff
    Регистрация
    05.02.2006
    Адрес
    Украина
    Сообщений
    1,728
    Вес репутации
    936
    Цитата Сообщение от rdog Посмотреть сообщение
    acct-
    Утилиты GNU для просмотра статистики по времени работы и по программам, выполняемым пользователями
    GNU Accounting Utilities — это набор утилит для
    сбора данных о длительности сеансов
    работы пользователей в системе и
    выполняемым процессам.

    Login accounting предоставляет информацию об
    использовании системных ресурсов,
    основываясь на времени подключения, и
    process accounting - на основе команд,
    выполненных в системе.

    Команда last теперь включена в пакет sysvinit.-это?
    - дык, наверное, это и имел ввиду Сисадмин, который "ничего не может предложить, кроме списка логинившихся юзеров и списка запускаемых программ (без привязки одного списка к другому)."

    Добавлено через минуту

    - нужно бы уточнить о какой системе управления базами данных(СУБД) тут идет речь, а уже потом, исходя из имеющегося в её составе "инструментария", думать как решить конкретную задачу...
    Последний раз редактировалось Alex Plutoff; 11.02.2010 в 19:18. Причина: Добавлено
    С уважением,
    Alex Plutoff
    А. ПЛАТОВ

  7. #6
    Junior Member Репутация
    Регистрация
    09.02.2010
    Сообщений
    4
    Вес репутации
    29
    Цитата Сообщение от Alex Plutoff Посмотреть сообщение
    дык, наверное, это и имел ввиду Сисадмин
    Именно это - команды last и history

    Средствами СУБД (Oracle) задача, увы, не решается, так же как и средствами системы, следящей за коннектами извне непосредственно к базе (Guardium), т.к. с точки зрения базы "легальные" вызовы ничем не отличаются от "нелегальных".

    Поэтому и возникла идея мониторить логи с целью засечь несанкционированный запуск спец-программы и определить юзера (login) и, по возможности, IP, c которого он коннектился.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Alex Plutoff
    Регистрация
    05.02.2006
    Адрес
    Украина
    Сообщений
    1,728
    Вес репутации
    936
    - странно, разработчики Oracle утверждают, что их СУБД способна обеспечить достаточно строгий контроль и учет доступа...
    - ну, а если собственных механизмов Oracle для контроля и учета доступа недостаточно, то наверное есть смысл использовать сторонние СКУД(системы контроля и управления доступом), но вряд ли такие есть в числе свободно-распространяемых, скорее всего, придётся платить денежку...

    Добавлено через 17 минут

    P.S. ...вот, кстати, наткнулся на описание достаточно мощного инструмента аудита и мониторинга баз данных от Oracle http://www.oracle.com/global/ru/press/ppr/16022009.html
    -
    Последний раз редактировалось Alex Plutoff; 12.02.2010 в 15:04. Причина: Добавлено
    С уважением,
    Alex Plutoff
    А. ПЛАТОВ

  9. #8
    Junior Member Репутация
    Регистрация
    09.02.2010
    Сообщений
    4
    Вес репутации
    29
    Все правильно насчет Oracle, и за стороннюю систему контроля (Guardium) денежки уже заплачены

    Одно маленькое "Но!"
    Доступ к закрытым данным организован таким образом, что конектится всегда один и тот же юзер БД, с одного и того же "внутреннего" IP, с использованием одного и того же программного механизма. Именно поэтому ни Oracle, ни Guardium не могут отличить один коннект от другого

    Существует два различных способа получения закрытых данных:
    - "программный" вызов из другой БД (на которой крутится основная система)
    - "ручной" вызов из той самой программы, доступ к которой надо мониторить.

    Проблема состоит в том, что не доказано отсутствие в этой программе "back door", которая может использоваться злоумышленником для доступа к "закрытым" данным.

    PS Прямой доступ к "закрытой" базе возможен, но бесполезен, т.к. данные закодированы; декодирование произволится упомянутым выше программным механизмом. Поэтому мне нужно следить за "ручным" вызовом программы.

Похожие темы

  1. Ответов: 2
    Последнее сообщение: 29.06.2011, 00:09
  2. Ответов: 3
    Последнее сообщение: 18.09.2010, 22:49
  3. Когда антивирусы молчат
    От winterdreams в разделе Помогите!
    Ответов: 7
    Последнее сообщение: 28.07.2009, 12:50
  4. Ответов: 8
    Последнее сообщение: 12.06.2007, 08:15

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00815 seconds with 16 queries