Компания Cisco опубликовала (https://blog.snort.org/2019/07/snort-29140-has-been-released...) релиз Snort 2.9.14.0 (http://www.snort.org/), свободной системы обнаружения и предотвращения атак, комбинирующей в себе методы сопоставления по сигнатурам, средства для инспекции протоколов и механизмы для выявления аномалий.Основные новшества:
- Добавлена поддержка масок номеров портов в кэше хостов и возможность переопределения привязки идентификаторов приложений к сетевым портам;- Добавлены новые шаблоны клиентского ПО для вывода запроса на подтверждение;- Добавлена поддержка определения Microsoft Outlook для macOS;- Добавлено новое предупреждение препроцессора, выводимое в случае отсутствия корректного окончания заголовка;- Улучшено определение идентификаторов приложений в трафике, проходящем через прокси.
URL: https://blog.snort.org/2019/07/snort-29140-has-been-released...
Новость: https://www.opennet.dev/opennews/art.shtml?num=51124
MITM от казахов обнаружит?
MITM от казахов даже старенький браузер твоей бабушки обнаружит.
Его до сих пор кто-то использует? Суриката как минимум не хуже и построена на многопоточной архитектуре.
Кто-нибудь подскажет дистр. линукс чтоб собрать через buildroot с systemd для роутера?
> Кто-нибудь подскажет дистр. линукс чтоб собрать через buildroot с systemd для роутера?lfs
ссылку на buildroot для него !!!
А зачем с systemd? Чем sysVinit не угодил?
можно долго объяснять какой он кривой )))
но все проще - нужен systemd-journald с его верификацией целостности.
Но в systemd журналы хранятся в бинарном виде. Это не так надежно, как обычный плейн текст. Плюс бинарные логи противоречат общему духу UNIX.
> Но в systemd журналы хранятся в бинарном виде. Это не так надежно,
> как обычный плейн текст. Плюс бинарные логи противоречат общему духу UNIX.Плюс, что правда почему-то очень скромно умалчивается, верифицируются [опечатываются] логи по умолчаниют только каждые 15 минут.
> --interval=
> Specifies the change interval for the sealing key when generating an FSS key pair with --setup-keys.
> Shorter intervals increase CPU consumption but shorten the time range of undetectable journal alterations.
> Defaults to 15min.Если успеть подменить [что, как все знают, совершенно невозможно на практике, ведь хаки последних 15 лет делаются исключительно вручную, а не автоматизируются скриптами!], то будет верифициррованная сказочка от хакера :).
Не говоря уже о том, что надеяться на целостность подобный данных, хранимых локально, довольно опрометчиво. Нормальная практика сразу при создании ивента, доставить его в централизованную систему хранения и анализа логов.
IMHO, Инвестируйте лучше время в то, что уже было давно придумано и подтвержденно временем вместо controversial systemdchattr +au file.log # Linux
chflags uunlnk,sappend file.log # BSDдля паранои можете еще банально git-ом или fossil-ом архивировать и даже пушать файлы в удаленный репозиторий, по сути, та же верификация
>было давно придумано и …ага и давно устарело ))))
для меня systemd не проблема, я его не боюсь в отличии от некоторых любителей старых граблей.А вот ответить по существу похоже не кому ((((((
> ага и давно устарело ))))факты в студию, с каких это пор chattr устарел ?
> для меня systemd не проблема, я его не боюсь в отличии от
> некоторых любителей старых граблей.а кто здесь сказал что кто-то боится systemd ?
его просто не любят за наглость заниматься не свойственными инит процессу делами, его ненавидят когда оно виснет на тачке что у черта на куличках, ему не верят за кучу постоянных новых багов...> А вот ответить по существу похоже не кому ((((((
кушают в ресторанах, а какают в туалетах, то же самое и с вашим вопросом, здесть не форум snort-a, a просто новости