Я не по наслышке знаю как работают аудиторы в фирме где трудится более 20000 работников. Сфера — финансы.
Каждое действие согласовано, спектр работ указан очень точно и понятно. Любая инициатива наказуема.
Критические продукционные системы пенетрируются в момент минимального количства клиентов. Бывает, что заранее сообщается основыным СМИ, что они сообщили общественности — такого-то числа там-то там-то возможны перебои в системах.
Я не знаю какая политика у google.com. Но в фин. и гос. секторе без соответсвующего разрешения, можно получить по ушам.
В многих крупных фирмах, госкомпаниях, в том числе и учебных заведениях, одно из требований при каких-либо пентестах это получить письменное разрешение от владельца сервиса и за несоблюдение этих требований могут быть плачевные последствия.
Проф.этика имеет намного больше пунктов и требований, чем взломал-украл-сплавил.
У Logstash есть 2 типа файлов — monolithic и flatjar. Flatjar немного по другому запакован и он значительно быстрее готов к работе после запуска.
По поводу ES. Я всегда использовал сторонний Elasticsearch, так как на нём ещё бегают некоторые мне необходимые вещи.
Надо будет попробовать на досуге встроенную версию ES.
Ещё у разработчиков Logstash есть идея сделать Kibana уже вшитой в код, что бы веб-интерфейс был всё таки поудобнее того, что сейчас есть в Logstash'е.
Да есть немного похожего, правда graylog2 потяжелее будет.
Проблема последних версий GL2 — у них всего один индекс под логи. При больших объёмах это заметно влияет на тормоза системы. Да и по мелочи там ещё много недоделок — например использование regex в стримах в дополнительных полях.
У меня в тестовой базе ES около миллиона записей апаче логов. Поиск типа @fields.request:*mp3* во всех логах занимает около 3х секунд, это с учётом рисования графика и выдаёт около 6000 совпадений. Из найденных результатов скоринг по IP адресам занимает тоже пару секунд.
Я пока не видел особых тормозов у такой системы при 600-1000 reqs/sec и общем количестве данных почти пол миллиарда. Всё кончено зависит от железа. Много CPU & RAM значительно улучшают скорость.
«ввёл в поисковую строчку» — это имеется ввиду поисковая строка в Kibana или что-то другое?
Индексация всех данных и так присходит. При использовании grok фильтра (в моём примере), строка разбивается на блоки. Каждый блок имее название поля и данные этого поля. По любым полям можно осеществлять поиск.
Т.е. если в поиск в Kibana вписать @fields.request:*zip*, то должны появиться все строки, где в поле request присутствуют в любом месте буквы zip. По дефолту Kibana ищет в 15 последних минутах логов. Что бы найти отовсюду, в левом дропдауне надо выбрать «All Time».
ripe.net по дефолту ищет только среди европейских блоков.
Если же в расширенном поиске выбрать все регистры, то от ненужного обилия цифр-букв можно на короткое время лишиться рассудка :)
А вот и не правда. В роли клиента может быть не только ип адрес, может быть и fqdn (если конечно ДНС запись имеется и ДНС настройки сервера позволяют резолвинг делать).
Строка типа:
Deny from .net whatever.com
запретит доступ к ресурсу если клиентский ип резолвится как 123-whatever-dsl.provide.net или natted.whatever.com
Днс проверка происходит вне зависимости от того что стоит в HostnameLookups — On или Off.
Иногда нужно, чтобы доступ к некоторым ресурсам сайта был разрешён только определённым пользователям.
Запустив команду «htpasswd /home/pathto/.htpasswd user1» и введя 2 раза пароль, создастся файл .htpasswd примерно такого содержания:
user1:31/a7xzJFbFoo
user2:7JK9iJEedT8hA
Многие кинотеатры не пускают со своей едой, потому что зрители начнут таскать шаурму, бургеры и прочее. В результате зафаршмаченные сиденья. Мало кто захочет сесть в кресло залитое майонезом или кетчупом.
У нас (в Эстонии) ид-карты используются довольно давно. Можно получить ид-карту без паспорта, но нельзя получить паспорт без ид-карты.
PIN1 используется для логина во всевозможные госсайты, е-банки и онлайн-магазины.
PIN2 нужен для подписи документов или банковских переводов.
Используется спец.софт (мультиплатформенный) для смены пин кодов и софт для подписи или шифрования документов.
На данный момент с помощью наших ид-карт совершено более 100 миллионов дигитальных подписей, а карты выдано всего 1.2 миллиона (население страны 1.3 миллиона)
Каждое действие согласовано, спектр работ указан очень точно и понятно. Любая инициатива наказуема.
Критические продукционные системы пенетрируются в момент минимального количства клиентов. Бывает, что заранее сообщается основыным СМИ, что они сообщили общественности — такого-то числа там-то там-то возможны перебои в системах.
Я не знаю какая политика у google.com. Но в фин. и гос. секторе без соответсвующего разрешения, можно получить по ушам.
Проф.этика имеет намного больше пунктов и требований, чем взломал-украл-сплавил.
Вот гит Logstash'a — https://github.com/logstash/logstash/
У Logstash есть 2 типа файлов — monolithic и flatjar. Flatjar немного по другому запакован и он значительно быстрее готов к работе после запуска.
По поводу ES. Я всегда использовал сторонний Elasticsearch, так как на нём ещё бегают некоторые мне необходимые вещи.
Надо будет попробовать на досуге встроенную версию ES.
Ещё у разработчиков Logstash есть идея сделать Kibana уже вшитой в код, что бы веб-интерфейс был всё таки поудобнее того, что сейчас есть в Logstash'е.
Проблема последних версий GL2 — у них всего один индекс под логи. При больших объёмах это заметно влияет на тормоза системы. Да и по мелочи там ещё много недоделок — например использование regex в стримах в дополнительных полях.
У меня в тестовой базе ES около миллиона записей апаче логов. Поиск типа @fields.request:*mp3* во всех логах занимает около 3х секунд, это с учётом рисования графика и выдаёт около 6000 совпадений. Из найденных результатов скоринг по IP адресам занимает тоже пару секунд.
Я пока не видел особых тормозов у такой системы при 600-1000 reqs/sec и общем количестве данных почти пол миллиарда. Всё кончено зависит от железа. Много CPU & RAM значительно улучшают скорость.
Индексация всех данных и так присходит. При использовании grok фильтра (в моём примере), строка разбивается на блоки. Каждый блок имее название поля и данные этого поля. По любым полям можно осеществлять поиск.
Т.е. если в поиск в Kibana вписать @fields.request:*zip*, то должны появиться все строки, где в поле request присутствуют в любом месте буквы zip. По дефолту Kibana ищет в 15 последних минутах логов. Что бы найти отовсюду, в левом дропдауне надо выбрать «All Time».
Если же в расширенном поиске выбрать все регистры, то от ненужного обилия цифр-букв можно на короткое время лишиться рассудка :)
ping.eu — показывает только то что надо.
Строка типа:
Deny from .net whatever.comзапретит доступ к ресурсу если клиентский ип резолвится как 123-whatever-dsl.provide.net или natted.whatever.com
Днс проверка происходит вне зависимости от того что стоит в
HostnameLookups— On или Off.Иногда нужно, чтобы доступ к некоторым ресурсам сайта был разрешён только определённым пользователям.
Запустив команду «htpasswd /home/pathto/.htpasswd user1» и введя 2 раза пароль, создастся файл .htpasswd примерно такого содержания:
user1:31/a7xzJFbFoo
user2:7JK9iJEedT8hA
В файл .htaccess добавляем следующие строки:
AuthUserFile /home/pathto/.htpasswd
AuthType Basic
AuthName «Secret Place»
require valid-user
Доступ теперь возможен только при введении правильного имени пользователя и пароля.
dev.metasploit.com/redmine/projects/framework/repository/revisions/876d889d820bc30d49ad6aa9f62902316af660c1/entry/external/source/exploits/j7u10_jmx/Exploit.java
Здесь немного интересного чтения по сабжу:
malware.dontneedcoffee.com/2013/01/0-day-17u10-spotted-in-while-disable.html?m=1
PIN1 используется для логина во всевозможные госсайты, е-банки и онлайн-магазины.
PIN2 нужен для подписи документов или банковских переводов.
Используется спец.софт (мультиплатформенный) для смены пин кодов и софт для подписи или шифрования документов.
На данный момент с помощью наших ид-карт совершено более 100 миллионов дигитальных подписей, а карты выдано всего 1.2 миллиона (население страны 1.3 миллиона)