abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Myrlyn 1.0.0
    dnes 14:33 | Zajímavý software

    Grafický správce balíčků Myrlyn pro SUSE a openSUSE, původně YQPkg, dospěl do stabilní verze 1.0.0. Postaven je nad libzypp a Qt 6. Projekt začal na SUSE Hack Weeku 24.

    Ladislav Hagara | Komentářů: 5
    Ve Wine lze spustit Adobe Photoshop
    dnes 13:44 | Zajímavý projekt

    Vývojáři se podařilo vytvořit patch pro Wine, díky kterému je možné na linuxovém stroji nainstalovat a spustit Adobe Photoshop (testováno s verzemi Photoshopu PS2021 a PS2025). Dalším patchem se podařilo umožnit dokonce instalaci téměř celého Adobe Creative Cloud Collection 2023, vyjma aplikací Adobe XD a Adobe Fresco. Patch řeší kompatibilitu s windowsovými subsystémy MSHTML - jádrem prohlížeče Internet exporer, a MSXML3 - parserem

    … více »
    NUKE GAZA! 🎆 | Komentářů: 4
    Hackeři zaútočili na portál veřejných zakázek a vyřadili ho z provozu
    dnes 13:33 | IT novinky

    Hackeři zaútočili na portál veřejných zakázek a vyřadili ho z provozu. Systém, ve kterém musí být ze zákona sdíleny informace o veřejných zakázkách, se ministerstvo pro místní rozvoj (MMR) nyní pokouší co nejdříve zprovoznit. Úřad o tom informoval na svém webu a na sociálních sítích. Portál slouží pro sdílení informací mezi zadavateli a dodavateli veřejných zakázek.

    Ladislav Hagara | Komentářů: 8
    Knihovna jQuery oslavila 20. narozeniny. Vydána byla verze 4.0.0
    dnes 12:22 | Nová verze

    Javascriptová knihovna jQuery (Wikipedie) oslavila 20. narozeniny, John Resig ji představil v lednu 2006 na newyorském BarCampu. Při této příležitosti byla vydána nová major verze 4.0.0.

    Ladislav Hagara | Komentářů: 2
    Open-source linuxový rootkit Singularity
    dnes 01:33 | Zajímavý projekt

    Singularity je rootkit ve formě jaderného modulu (Linux Kernel Module), s otevřeným zdrojovým kódem dostupným pod licencí MIT. Tento rootkit je určený pro moderní linuxová jádra 6.x a poskytuje své 'komplexní skryté funkce' prostřednictvím hookingu systémových volání pomocí ftrace. Pro nadšence je k dispozici podrobnější popis rootkitu na blogu autora, případně v článku na LWN.net. Projekt je zamýšlen jako pomůcka pro bezpečnostní experty a výzkumníky, takže instalujte pouze na vlastní nebezpečí a raději pouze do vlastních strojů 😉.

    NUKE GAZA! 🎆 | Komentářů: 0
    Iconify
    včera 21:22 | Zajímavý projekt

    Iconify je seznam a galerie kolekcí vektorových open-source ikon, ke stažení je přes 275000 ikon z více jak dvou set sad. Tento rovněž open-source projekt dává vývojářům k dispozici i API pro snadnou integraci svobodných ikon do jejich projektů.

    NUKE GAZA! 🎆 | Komentářů: 3
    Let's Encrypt nově vydává také certifikáty s šestidenní platností s možností vystavit je na IP adresu
    včera 03:33 | IT novinky

    Dle plánu certifikační autorita Let's Encrypt nově vydává také certifikáty s šestidenní platností (160 hodin) s možností vystavit je na IP adresu.

    Ladislav Hagara | Komentářů: 8
    Forgejo 14.0
    17.1. 14:44 | Nová verze

    V programovacím jazyce Go naprogramovaná webová aplikace pro spolupráci na zdrojových kódech pomocí gitu Forgejo byla vydána ve verzi 14.0 (Mastodon). Forgejo je fork Gitei.

    Ladislav Hagara | Komentářů: 10
    Projekt 'Just the Browser'
    17.1. 13:11 | Zajímavý projekt

    Just the Browser je projekt, 'který vám pomůže v internetovém prohlížeči deaktivovat funkce umělé inteligence, telemetrii, sponzorovaný obsah, integraci produktů a další nepříjemnosti' (repozitář na GitHubu). Využívá k tomu skrytá nastavení ve webových prohlížečích, určená původně pro firmy a organizace ('enterprise policies'). Pod linuxem je skriptem pro automatickou úpravu nastavení prozatím podporován pouze prohlížeč Firefox.

    NUKE GAZA! 🎆 | Komentářů: 3
    Bevy 0.18
    16.1. 16:44 | Nová verze

    Svobodný multiplatformní herní engine Bevy napsaný v Rustu byl vydán ve verzi 0.18. Díky 174 přispěvatelům.

    Ladislav Hagara | Komentářů: 3
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Které desktopové prostředí na Linuxu používáte?
     (17%)
     (5%)
     (0%)
     (9%)
     (20%)
     (3%)
     (6%)
     (2%)
     (11%)
     (39%)
    Celkem 526 hlasů
     Komentářů: 15, poslední dnes 18:29
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / Jak na šifrované logy z apache a syslogu?
    Štítky: Apache, GPG, kryptografie, problém, restart, server

    Dotaz: Jak na šifrované logy z apache a syslogu?

    Bilbo avatar 4.6.2010 00:52 Bilbo | skóre: 29
    Jak na šifrované logy z apache a syslogu?
    Přečteno: 543×
    Rád bych šifroval logy co produkuje na serveru apache a syslog (u syslogu by stačila i jen část logů), aby když se někdo na server nabourá, případně ho ukradne, tak aby se do těch logů co tam jsou uloženy nedostal.

    Tedy by to musela být nějaká asymetrická kryptografie (např. něco na způsob GPG), kdy na serveru je jen veřejný klíč a privátní je uložen bezpečně v trezoru (ve chvíli, kdy si chci logy přečíst, tak si je přenesu na jiný počítač, vezmu z trezoru klíč a tam je dešifruju).

    GPG jen tak asi nepůjde použít (umí šifrovat soubory, ale asi to nepůjde tak jednoduše s rourami, kde data plynule proudí několik měsíců bez přestávky)

    Principiálně by to mělo být snad možné - apache umí logy posílat rourou zadanému programu, rsyslog sice ne, ale umí named pipes (fifo) takže by tu taky neměl být problém.

    Tedy jediné co "zbývá", je nějaký program co mu teče na vstup log v plaintextu a z něj se to pak zapisuje nějakým způsobem do nějakých šifrovaných souborů. A umí se nějak vyrovnat s rotací logů a jinými problémy - restart apache, aby se log celý nezničil při náhlém ukončení programu (OOM, restart serveru ...), atd ...

    Víte někdo o nějakém programu, co by tohle dělal (nebo ho lze nějak přiohnout, aby se k tomuhle dal použít), nebo si ho budu muset napsat sám?
    Big brother is not watching you anymore. Big Brother is telling you how to live...
    Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    Max avatar 4.6.2010 07:47 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Jak na šifrované logy z apache a syslogu?
    Mně to přijde jako security obscurity. Když se někdo nabourá na server, tak logy je to poslední, o co bych se bál. Ale to, že si neumím dobře představit zneužitelnost logů, ještě nic neznamená.
    Jinak osobně bych to možná řešil nějakým separátním logovacím serverem. To by do hodně velké míry zregulovalo počet možných bezpečnostních chyb (vše na FW zakázáno, jen naslouchání na ssh a syslogu povoleno).
    Nevýhodou zašifrovaných logů je to, že jsou zašifrovaný a tudíž se ti zvyšuje čas potřebný k řešení nějakého problému.
    Dalším problémem je, že když nasadíš šifrování, tak si odpálíš další bezpečnostní prvek, který zřejmě nepoužíváš a tím je automatická kontrola logů nějakým scriptem (log analyzerem jako je např. Logwatch), který v případě nalezení neobvyklého, nebo i předem definovaného, záznamu dá okamžitě vědět správci.
    Zdar Max
    Měl jsem sen ... :(
    4.6.2010 10:15 Bill Gates
    Rozbalit Rozbalit vše Re: Jak na šifrované logy z apache a syslogu?
    >vše na FW zakázáno, jen naslouchání na ssh
    SSH mit otevrene z venku - tomu taky neverim..
    SSH zavrit taky, na SSH lezu skrz VPN bezici na serveru na totalne nestandardnim portu a az na VPNce teprve otevreny port SSH. By musel nekdo hacknout VPNku a pak jeste heslo na SSH, to uz je psycho.
    5.6.2010 16:28 pht | skóre: 48 | blog: pht
    Rozbalit Rozbalit vše Re: Jak na šifrované logy z apache a syslogu?
    By musel nekdo hacknout VPNku a pak jeste heslo na SSH, to uz je psycho.

    Správně. Ještě že žádní psycho hackeři nejsou.
    In Ada the typical infinite loop would normally be terminated by detonation.
    Bilbo avatar 4.6.2010 15:33 Bilbo | skóre: 29
    Rozbalit Rozbalit vše Re: Jak na šifrované logy z apache a syslogu?
    V logwatch nevidím nepřekonatelný problém, kopie nešifrovaných logů se pustí do další roury, na jejímž konci bude logwatch. Logwatch pak bude posílat maily šifrované GPG :)

    Separátní logovací server asi nebude to správné řešení pro mně, jednak pořád musím řešit stejný problém (někdo nabourá nebo ukradne i ten logovací server, tedy potřeba šifrovat), jednak to znamená další stroj navíc.

    Samozřejmě, že optimální je, pokud se podaří server zabezpečit tak, aby se na něj nikdo nedostal, ale snažím se, aby když už se někdo serveru zmocní, nebo se na něj nabourá, aby nadělal minimum škody. Je celkem rozdíl, pokud si někdo ze serveru odnese logy za rok s citlivými údaji, nebo jen za krátkou (od hacknutí do objevení hackera), až nulovou (někdo vyškubne bednu ze zdi a odnese si ji) dobu.
    Big brother is not watching you anymore. Big Brother is telling you how to live...
    4.6.2010 16:08 zulu
    Rozbalit Rozbalit vše Re: Jak na šifrované logy z apache a syslogu?
    S takovým přístupem ti taky může někdo nabořit server s privátním klíčem a logy rozšifrovat. Trochu soudnosti, pane. Mimo to, jak se ti do logů dostanou citlivá data a proč je tam cpeš?

    Bilbo avatar 6.6.2010 03:40 Bilbo | skóre: 29
    Rozbalit Rozbalit vše Re: Jak na šifrované logy z apache a syslogu?
    Rozdíl je v tom, že se akorát ty logy přenesou na logovací server (takže se jen změní cíl pro útočníka) - a ve chvíli kdy logserver klekne, tak přijdu o značnou část logů než ho osobně nahodím.

    Privátní klíč nemusí být online (může strávit většinu doby v trezoru), takže tam je riziko o dost nižší.

    Je dost případů, kdy data z logů můžou být cennější, než jakákoliv jiná data na serveru. Komplet index googlu je relativně cenný (je potřeba dobrá konektivita a hodně času k jeho vybudování, ale zase to může "snadno" udělat kdokoliv), ale informace kdo kde co vyhledává (čili logy) bude asi cennější (a lépe zneužitelná ve špatných rukou) a nedá se tak snadno získat, viz. třeba rozruch kolem uvolnění podobných dat Amazonem (který je sice "anonymizoval", ale moc to nepomohlo ....)
    Big brother is not watching you anymore. Big Brother is telling you how to live...
    Max avatar 6.6.2010 09:51 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Jak na šifrované logy z apache a syslogu?
    Nojo, jenomže ten logovací server může být mnohonásobně lépe zabezpečenější, než ten původní, jelikož na něm nepoběží žádné služby, jen asi dvě a ty budou na FW omezeni jen pro určité IP. Takže jediná možnost, jak by se někdo mohl do serveru nabourat, je zjistit si heslo roota, nebo přijít na nějaký remote exploit jádra k získání root práv. Obě dvě věci považuji za v dnešní době hodně nerealistické.
    Zdar Max
    Měl jsem sen ... :(
    6.6.2010 12:36 pht | skóre: 48 | blog: pht
    Rozbalit Rozbalit vše Re: Jak na šifrované logy z apache a syslogu?
    ten logovací server může být mnohonásobně lépe zabezpečenější, než ten původní
    To může být pravda, ale na tom ve výsledku asi nebude moc záležet.

    Nakonec chcete ty data někam dostat, abyste je mohl zpracovat nebo číst, takže bude mnohem více záležet na tom, jak zabezpečíte čtení. (Pokud je chcete jen shromažďovat, tak nejbezpečnějším a nejúspornějším místem je /dev/null :)
    zjistit si heslo roota ... považuji za v dnešní době hodně nerealistické
    Žijete asi v jiné realitě než já (a spousta jiných).
    In Ada the typical infinite loop would normally be terminated by detonation.
    Ondrej avatar 4.6.2010 16:25 Ondrej | skóre: 20 | blog: darkblair_server | Praha
    Rozbalit Rozbalit vše Re: Jak na šifrované logy z apache a syslogu?
    Resis blbost. Pokud ti nekdo ukradne nebo naboura server, mas mnohem horsi problem nez nejaky cteni logu. Z logu se nic utocnik nedozvi, mnohem zajimavejsi jsou data na nem. A pokud mas aplikaci, ktera do syslogu cpe duverny data - aplikaci okamzite vyhod.

    Jinak bych to resil logovacim serverem s sifrovanym diskem, klic na flashce. Pokud potrebujes restartovat server, tak k nemu dojit, strcit do nej flashku, nechat pripojit disky a flashku si zase odnest.

    Ale jak rikam ja a i lidi prede mnou - resis zbytecnou blbost. Nicemu nepomuzes a jenom budes spotrebovavat vykon stroje na (de)sifrovani logu.

    P.S.: A ted si predstav, ze ti nekdo crackne soukromej klic! preci jenom je to jenom par kilobitu dat - u 2048bit klice je jenom 2^2048 moznejch privatnich klicu, coz je nejaky (a popravde celkem i maly) cislo - 3,231700607e+616 (cca.)
    Nikdo neni nikdy lepsi nez ty! Pouze ty jsi obcas horsi nez ostatni.
    5.6.2010 16:30 pht | skóre: 48 | blog: pht
    Rozbalit Rozbalit vše Re: Jak na šifrované logy z apache a syslogu?
    u 2048bit klice je jenom 2^2048 moznejch privatnich klicu, coz je nejaky (a popravde celkem i maly) cislo - 3,231700607e+616 (cca.)

    Jak kde :)
    In Ada the typical infinite loop would normally be terminated by detonation.
    5.6.2010 16:36 pht | skóre: 48 | blog: pht
    Rozbalit Rozbalit vše Re: Jak na šifrované logy z apache a syslogu?
    Tedy jediné co "zbývá", je nějaký program co mu teče na vstup log v plaintextu a z něj se to pak zapisuje nějakým způsobem do nějakých šifrovaných souborů. A umí se nějak vyrovnat s rotací logů a jinými problémy - restart apache, aby se log celý nezničil při náhlém ukončení programu (OOM, restart serveru ...), atd ...

    Myslím, že jste na to kápnul. Ten program si musí přečíst (zapamatovat) kus záznamu z logu, ten pak zašifrovat a uložit. To není nic proti ničemu (postačí na to docela malý skript).

    Jen si musíte rozvrhnout, jak dlouhý kus si budete pamatovat. Pokud bude moc krátký, budete režie šifrování příliš veliká. Pokud bude moc dlouhý, hrozí, že při výpadku přijdete o adekvátně dlouhý kus záznamů. Pokud bych střelil od boku, tak bych šifroval např. jednou za minutu nebo jednou za 4 kb textu, podle toho, co přijde dřív.

    Samozřejmě musíte k tomu připojit nástroj, kterým budete ty logy schopen efektivně číst.
    In Ada the typical infinite loop would normally be terminated by detonation.
    Bilbo avatar 6.6.2010 03:04 Bilbo | skóre: 29
    Rozbalit Rozbalit vše Re: Jak na šifrované logy z apache a syslogu?
    Jo, šlo by to řešit podobně jako to dělá GPG - asymetrickou šifrou se zašifruje session key a zbytek se pak šifruje symetrickou šifrou - u čehož lze cpát šifrovaná data do logu po menších kusech průběžně. Navíc oproti GPG by se tu ale musel session key každých X minut střídat, takže bych pak musel napsat i vlastní dešifrátor a nešel by použít formát GPG.

    Ale napadlo mně, jestli nějaký podobný software už neexistuje, že bych ho nemusel celý psát ... sice by šlo použít k tomu velké kusy z GPG, ale i tak by bylo jednodušší použít už něco hotového.
    Big brother is not watching you anymore. Big Brother is telling you how to live...
    6.6.2010 07:31 pht | skóre: 48 | blog: pht
    Rozbalit Rozbalit vše Re: Jak na šifrované logy z apache a syslogu?
    Můžete rovnou použít gpg, na každej ten kousek zvlášť.

    In Ada the typical infinite loop would normally be terminated by detonation.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.