Kritisch: Wie hoch ist Glaubwürdigkeit von Syslog-Einträgen?

[smurge]

Hallo zusammen,

vor einiger Zeit ist mir aufgefallen, dass zum Beispiel mit dem Kommandozeilen-Tool "logger" jeder Benutzer ins System-Log schreiben kann, und das auch unter Angabe beliebiger Anwendungs-, Facility- oder Dringlichkeits-Namen. (Mit anderen Tools ist es ebenfalls machbar.)

Daher meine Frage: wie kann ich dann überhaupt noch auf die Richtigkeit meiner Syslog-Einträge vertrauen? Da könnte ja jeder z.B. lokal mit ein wenig Geduld und dem passenden Shellskript in meine Firewall-Logs einen Angriff hineinschreiben, der in Wirklichkeit nie stattgefunden hat.

Um Missverständnissen vorzubeugen: hier handelt es sich NICHT um:
- eine Fehlkonfiguration
- ein Problem mit den Zugriffsrechten auf /var/log/...
- ein Problem mit den Zugriffsrechten auf die Anwendung logger

Es ist leider wirklich davon auszugehen, dass das auf jedem Linux-System funktioniert. (Um Test-Ergebnisse wird gebeten.)

:arrow: Ich glaube, einen ähnlichen Beitrag schon vor ca. 1 Monat schonmal gepostet zu haben, aber er ist nicht mehr aufzufinden und das Problem nach wie vor ungelöst. Außerdem hatte ihn die Hälfte aller Leser ohnehin als PHP-basiertes Problem missverstanden. (Beitrag entfernt??)

Frohe Ostern.

[tcs]

Hi,

AFAIK ist dem nur mit Verwendung eines Logservers entgegenzuwirken...
Hab auch mal dahingehend geschaut, auf einem kompromittierten Rechner kann man bekanntlich nichts und niemandem trauen, daher war ich neugierig wie man dann noch rausfinden kann was ungefähr passiert ist.
syslog-ng und metalog können soweit ich weiß auf andere Server loggen.

Cheers

tcs

[smurge]

Hi,

es ist richtig, dass z.B. syslog-ng auf andere Rechner loggen kann. Aber damit ist hier nicht geholfen, und das führt auch in eine andere Richtung.

Erklärung: Alles, was vorne in die Black Box "System Logging" reingeht, geht hinten irgendwo raus. Ob das "raus" nun bedeutet, dass in eine Datei geschrieben wird oder auf einen anderen Rechner, das macht bei diesem Problem eigentlich kaum einen Unterschied. Der einzige Unterschied, den man mit Remote Logging bewirken könnte, wäre, dass einmal geschriebene Logs auch dann nicht im Nachhinein manipuliert werden können, wenn der lokale Rechner einmal kompromittiert sein sollte.

Das Grundproblem jedoch, dass zunächst jeder unter falscher Identität loggen kann, was er möchte, darunter z.B. auch Falschmeldungen, das bleibt.

Sorry für die starke Formatierung. Möchte nur verhindern, dass dieser Thread erneut in eine falsche Richtung abdriftet.

[golloza]

Ja, das Problem besteht,

Die einzige Möglichkeit, die ich sehe, ist die Zugriffsrechte von /dev/log zu ändern, mit syslog-ng zum Beispiel:

Code: Select all

source src {
    unix-stream("/dev/log" group("loggers") perm(0660));
    internal();
    pipe("/proc/kmsg");
};

Alle User, die etwas loggen dürfen, müssen dann in der Gruppe "loggers" sein, also auch apache etc.

[smurge]

Super, das klingt nach einer guten Idee. Bekommt man das evtl. auch mit einem chmod hin? (Weiß nicht, in wie weit sich chmod auf /dev's auswirken.)

[golloza]

Musst halt schauen, welche Daemons Syslog benutzen und unter welchen Usern sie laufen.

Wenn die nicht in der Gruppe sind, verpasst du evtl. was.

Wenn PHP/Perl/etc. Skripte als apache laufen, können die immer noch loggen, wenn du mit Apache über Syslog loggst und deshalb Apache in der Gruppe drin ist.

[mc5000]

Wie viele User haben den auf deinem Rootserver Shellzugriff?

Und das sind Leute denen Du nicht vertraust?

Da würde ich mir um ein paar andere Dinge noch mehr Sorgen machen ...