পটভূমি : সুরক্ষা উন্নয়নের এক উপায় হিসাবে দূরবর্তী লগের সমষ্টিকে বিবেচনা করা হয়। সাধারণত, এটি কোনও ঝুঁকি মোকাবেলা করে যে কোনও আক্রমণকারী যিনি একটি সিস্টেমের সাথে আপস করেন তা ফরেন্সিক বিশ্লেষণ হতাশ করতে লগগুলি সম্পাদনা করতে বা মুছতে পারে। আমি সাধারণ লগ সরঞ্জামগুলিতে সুরক্ষা বিকল্পগুলি নিয়ে গবেষণা করছি।
তবে কিছু ভুল মনে হচ্ছে। আগত বার্তাটি সত্যিকারের হোস্ট থেকে প্রকৃতপক্ষে উদ্ভূত হয়েছে তা প্রমাণীকরণের জন্য আমি যে কোনও সাধারণ দূরবর্তী লগার (যেমন, rsyslog, syslog-ng, লগস্ট্যাশ) কনফিগার করতে পারি তা দেখতে পাচ্ছি না। কোনও ধরণের নীতিগত বাধা ছাড়াই, একটি লগ-প্রবর্তক অন্য লগ-উদ্ভাবকের পক্ষে বার্তা তৈরি করতে পারে।
RSSyslog এর লেখক লগ ডেটা প্রমাণীকরণ সম্পর্কে সতর্ক করে বলে মনে হচ্ছে :
সাবধানতার একটি চূড়ান্ত শব্দ: পরিবহন-টিএলএস প্রেরক এবং গ্রহণকারীর মধ্যে সংযোগ রক্ষা করে। এটি বার্তায় উপস্থিত আক্রমণগুলির বিরুদ্ধে অগত্যা সুরক্ষা দেয় না। বিশেষত রিলে পরিবেশে, বার্তাটি কোনও দূষিত সিস্টেম থেকে উদ্ভূত হতে পারে, যা এতে অবৈধ হোস্টনাম এবং / বা অন্যান্য সামগ্রী রেখেছিল। যদি এই জাতীয় জিনিসের বিরুদ্ধে কোনও বিধান না থাকে, তবে এই রেকর্ডগুলি রিসিভারের সংগ্রহস্থলে প্রদর্শিত হতে পারে। ট্রান্সপোর্ট-টিএলএস এর বিরুদ্ধে সুরক্ষা দেয় না (তবে এটি সঠিকভাবে ব্যবহৃত হতে পারে)। মনে রাখবেন যে সিসলগ-ট্রান্সপোর্ট-টিএলএস হপ-বাই-হপ সুরক্ষা সরবরাহ করে। এটি শেষ থেকে শেষ পর্যন্ত সুরক্ষা সরবরাহ করে না এবং এটি বার্তাটি নিজেই প্রমাণিত করে না (কেবলমাত্র শেষ প্রেরক)।
সুতরাং ফলো আপ প্রশ্নটি হল: একটি ভাল / ব্যবহারিক কনফিগারেশন (আপনার পছন্দের কোনও সাধারণ লগ সরঞ্জাম - rsyslog, syslog-ng, লগস্ট্যাশ, ইত্যাদি) যা কিছু পরিমাণ সত্যতা সরবরাহ করে?
বা ... যদি কেউ লগ ডেটার সত্যতা দেয় না , তবে কেন নয় ?
-
(একদিকে: আলোচনা / তুলনা করার ক্ষেত্রে, এটি আরএফসি থেকে কিছু ডায়াগ্রাম বা পরিভাষা ব্যবহার করতে সহায়তা করতে পারে 5424: বিভাগ 4.1: উদাহরণ স্থাপনার পরিস্থিতি - যেমন "উদ্ভাবক" বনাম "রিলে" বনাম "সংগ্রাহক")