Forensics in Spanish
Ficheros borrados Mar 23 2006 11:05AM
Mario de Frutos Dieguez (marfru cartif es) (6 replies)
Re: Ficheros borrados Mar 27 2006 03:01AM
Luis E. Alvarado Day (lalvarado frro utn edu ar)
Re: Ficheros borrados Mar 24 2006 12:08PM
Manuel Moreno Leiva (morenoleiva gmail com) (1 replies)
Re: Ficheros borrados Mar 24 2006 04:15PM
Francisco J. Tsao Santin (tsao enelparaiso org)
Re: Ficheros borrados Mar 24 2006 09:48AM
Marcos Prieto (neron031 gmail com) (3 replies)
Re: Ficheros borrados Mar 24 2006 04:11PM
Francisco J. Tsao Santin (tsao enelparaiso org)
Re: Ficheros borrados Mar 24 2006 11:51AM
Juan Martin Galeote (juan ugr es)
Re: Ficheros borrados Mar 24 2006 11:19AM
Ivo Sandoval (ivosandoval gmail com)
Re: Ficheros borrados Mar 24 2006 08:18AM
Javier Fernandez-Sanguino (jfernandez germinus com)
Re: Ficheros borrados Mar 23 2006 11:47PM
etropos (etropos gmail com) (1 replies)
Re: Ficheros borrados Mar 24 2006 06:18AM
Mario de Frutos Dieguez (marfru cartif es) (3 replies)
Re: Ficheros borrados Mar 25 2006 05:03PM
etropos (etropos gmail com) (1 replies)
Re: Ficheros borrados Mar 27 2006 05:25AM
Mario de Frutos Dieguez (marfru cartif es)
Re: Ficheros borrados Mar 24 2006 01:58PM
Alonso Caballero Quezada / ReYDeS (reydes gmail com)
Re: Ficheros borrados Mar 24 2006 11:54AM
Javier Fernandez-Sanguino (jfernandez germinus com) (1 replies)
Mario de Frutos Dieguez wrote:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> Cierto fallo mio no haber informado de la plataforma.
>
> La plataforma es Linux Debian y los ficheros son ficheros dinámicos
> subidos al servidor a través de un filemanager por los usuarios con
> cuentas en la aplicación. Lo curioso es que solo he perdido estos
> archivos no se me ha borrado nada más con lo que quiero saber si son los
> usuarios o es el propio programa que tiene un bug.

Si se sube a través de un filemanager entonces deberías revisar los
registros de éste (qué es, ¿un Samba?) y (quizás) habilitar depuración
más detallada. Si quieres detalles de auditoría de acceso al sistema de
ficheros puedes poner un demonio de comprobación de integridad mirando
sólo la zona de descarga de ficheros (Tripwire, Samhain, Integrit, AIDE,
Osiris, etc. todos están disponibles en Debian)

Si quieres auditoría a más bajo nivel tienes que ir a la auditoría de
actividad en el núcleo a través de parches específicos (creo que no hay
ningún LSM que lo implemente). Los proyectos de auditoría en el núcleo
están un poco parados, tienes SAL http://secureaudit.sourceforge.net/ y
Snare http://www.intersectalliance.com/projects/Snare/ (creo que sólo
soporta el núcleo 2.4). Hay otros que están muertos, como
http://www.kernelthread.com/programming/laudit/

No se si hay algo en desarrollo para la rama 2.6, pero creo que puede
que http://www.kernel.org/pub/scm/linux/kernel/git/viro/audit-2.6.git/
sea una de las cosas en desarrollo.

En cualquier caso, esta última opción (auditoría en el núcleo)
implicaría desplegar un nuevo nucleo parcheado más complicado, desde
luego, que instalar un programa en espacio de usuario que haga esa tarea
(pero el programa tampoco tendrá la misma visibilidad)

Javier

[ reply ]
Re: Ficheros borrados Mar 24 2006 04:33PM
Mario de Frutos Dieguez (marfru cartif es)
Re: Ficheros borrados Mar 23 2006 09:42PM
Alonso Caballero Quezada / ReYDeS (reydes gmail com)


 

Privacy Statement
Copyright 2010, SecurityFocus