我目前的任务是制定一个监控数据库活动的行动计划,包括一些行为(失败的login等)和一些更好的粒度监控(例如,谁从表x中select,什么是SQL语句等) 在调查可以做什么的过程中,简单地打开和调整Oracle数据库审计似乎打击了大部分(如果不是全部)需求,尽pipe需要仔细考虑性能的警告) 但理想情况下,我想回到几个提案讨论,我的其他想法是产生触发器的表格,并将其发送到其他“审计”模式,但这有点重新发明轮子。 所以我想知道有没有人有这方面的经验,可以指出进一步的阅读/build议的任何其他可行的select
您如何检查您的网站上的软件是否已获得许可? 你有没有想出任何提示,以尽量减less工作?
我把所有的execve都logging在一个蜜jar里,所以我试着理解命令。 有许多这些,所有与'bash -c'和一些长的阿尔法数字不包含在双引号。 我怎么能理解我真正在看什么? type=EXECVE msg=audit(1425426965.480:57967): argc=3 a0="bash" a1="-c" a2=6C73202F6574632F696E69742E64207C2067726570202D4520275B302D39612D7A5D7B31307D27207C2061776B20277B7072696E742024317D27207C207861726773206B696C6C616C6C type=EXECVE msg=audit(1425510362.928:72792): argc=3 a0="bash" a1="-c" a2=6B696C6C616C6C20373737206874747064 type=EXECVE msg=audit(1425510366.832:72800): argc=3 a0="bash" a1="-c" a2=726D202D66202F746D702F68747470642A type=EXECVE msg=audit(1425510366.832:72801): argc=3 a0="rm" a1="-f" a2="/tmp/httpd*" 最后一部分与httpd给出了一些迹象,但我真的很想明白到底发生了什么。
我可以轻松地获取服务器是否是Win2k3,2k8,标准版,企业版,x86,x64,但是我找不到确定它是发行版1还是发行版2的方法。HP Systems Insight Manager以某种方式pipe理它。 Arghhh!
我需要找出安装程序所做的所有文件系统修改。 最有可能安装的软件包是rpm或deb,但是应用程序当然可以简单地复制或编译,并使用configure; make; make install方式进行安装。 即使rpm和deb有文件列表,它们的安装后脚本也可以进行额外的文件系统修改。 我第一次去寻找一个应用程序,可以监视另一个应用程序来查找其他应用程序所做的所有文件系统修改。 我还没有find。 接下来,我考虑了分层的文件系统,在开始安装应用程序之前,我想把它放在一个分层的文件系统中,然后在分层的文件系统上安装应用程序,然后找出在该层中发生的所有修改。 我能find的最好的是mini_fo,但似乎自2006年以来一直没有维护。它似乎也不能被覆盖/(这隐藏了一些层次的东西)。 然后我研究了基于inotify的解决scheme,但是对于从/开始的所有事情来说,这似乎是不切实际的。 例如,inotifywatch(linux.die.net/man/1/inotifywatch)默认提到手表的限制只是8K。 这也需要一些时间来安装观察者。 也有似乎是错误,新创build的目录不立即观看,所以他们的变化可能会被错过。 除了在安装和比较之前和之后从文件系统中获取快照之外,还有其他方法可以实现我想要做的事吗?
显然,OpenVAS起源于Nessus的一个分支。 安装和使用OpenVAS非常容易,因为它是开放的。 但是,如果我只是用那个而不是Nessus,我在开玩笑吗? 我应该同时使用,还是使用Nessus,OpenVAS是否符合要求? 把它分解成非主观的子问题:* openvas是超集还是nessus子集? *一个比另一个更新更频繁吗? *是否有一个比另一个更大的漏洞数据库? * …还有其他质量差异,我可能会失踪?
我正在尝试确定可以执行Exchange安全监视的工具。 理想情况下,这些工具应该能够拿起像这样的东西: 高风险邮箱的权限更改 多个连接到同一个邮箱 奖励点数,如果可以部署没有重大的交换重新configuration。 有什么喜欢的吗?
我们有许多服务器(运行Windows和Ubuntu),以及思科和瞻博networking路由器以及HP ProCurve交换机的一部分。 我们有几个系统pipe理员喜欢在不告诉任何人或将它们logging在任何地方的情况下对config进行更改。 你可以想象这会如何炸毁你的脸。 有没有可以在Windows,Linux和Cisco设备上logging和审计configuration更改的软件? 或者如果没有软件,也许有些政策可以有效地阻止这种行为?
是否有可能列出系统中不属于包的每个文件? 或者如果他们被修改? 可能需要使用类似于:apt-get,apt-files,dpkg-query等 对于上下文来说,想象一下inheritance一个无法格式化的旧服务器,并且想要检查每个文件是否应该是这样的…我知道在Debian版本之间升级或者在删除之后不会这样一个没有“–purge”的软件包,因为它似乎将(典型的configuration)文件分配在后面。 同样,如果该服务器将被replace为新的服务器,则要确保所有的configuration差异(与基本安装相比)已经被转移(或者如果不再相关,则被忽略 – 例如添加了“胭脂”“端口”到sshd_config)。 如果没有使用apt-get,也可以确定是否安装了任何东西。
我一直在寻找一些Debian的盒子,偶尔我会看到networkingstream量的大幅增长。 我正在用石墨绘制指标(每隔一分钟就收集一次按界面指标的敏感检查),偶尔会看到这样的事情: 我不知道是什么原因造成的,因为在进行中我从来没有设法捕捉到它。 找出造成这种情况的原因是很好的,那么最好的办法是弄清楚这可能是什么? 我想我真的是这样的:有没有办法审计一个networking连接(和进程ID /名称),如果它发送/接收的数据量超过一定的数量或速率?