Исходное сообщение
"Пересмотр сроков поддержки релизов FreeBSD" Отправлено Аноним, 02-Дек-18 22:30
> Ну ОК, а если всё же абстрагироваться от сказанного, то как специалист > будет разбирать бинарные логи, (не-)написанные системдой? Смею заверить, forensics намного более веселые задачи решают, если приспичило. Самое простое - ткнуться в логи штатной тулсой, конечно. Да, она умеет цеплять базы фиг знает откуда. Форенсики в случае адекватного админа добрым словом вспомнят верификацию логов с ключом. Так по крайней мере понятно - можно этому крапу верить или нет. А в текстовых логах хакеры традиционно удаляют или подделывают записи. Это азы. Им блэкхэты учат зеленых нубов, покуда надутые юниксадмины вещают о том как все круто. Много лет есть автоматические тулкиты для удаления или подделки записей. Если вдруг не проканало - форенсики привычные к всякому гуано. Вплоть до бинаря дизассемблером. А тут в общем то сорцы есть, парсер есть, сами сообщения таки текст, поэтому в целом проканает даже просто хексэдитором посмотреть, если родная тулса вдруг почему-то не сжевала базу. То что базы journalctl-у можно указывать и внешние - все наверное уже догадались. > историй успехи расшифровки бинарных логов у ОС, где уже давно есть > похожая на системду инфраструктура? Кому реально надо - не разводят сопли на форумах, а находят за 5 минут что-то типа https://www.forensicswiki.org/wiki/Windows_Event_Log_(EVT) - и все вопросы отпадают. Там и тулсы перечислены, или если не подошли, формат описан. В случае системды сорец парсера можно и официальный скачать, в отличие от MS. > Я в курсе, что этим никто не занимается, ибо можно накатить сверху из бекапа, Этим занимаются те кто должен этим заниматься. Неспешно, в фоне, и как правило из других соображений, как то попытки вычислить засранцев или восстановление данных с порушенного диска. > заменить докером другой докер и так далее. ...а именно продакшн таки быстренько реанимируют как-то так. Без гребаных ливцд и админов копающихся с ним. Если датарек с диском колупается, вычитывая максимум - значит, в продакшн воткнут новый диск. Полудохлый диск все-равно использовать в продакшне глупо. > Только это не решение проблемы, а мазанье зелёнкой перелома. Перелом тут в мозгах, имхо, если админы с ливцд лезут колупать боевую систему. > идти дальше не получится даже с палочкой. Расскажи это вон тем форенсикам, что у них не получится. Они ребята крутые, будет надо - научатся парить силой мысли. Те кто попроще - и занимаются чем-то попроще, типа протяжкой витухи.

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>> Ну ОК, а если всё же абстрагироваться от сказанного, то как специалист >> будет разбирать бинарные логи, (не-)написанные системдой? > Смею заверить, forensics намного более веселые задачи решают, если приспичило. > Самое простое - ткнуться в логи штатной тулсой, конечно. Да, она умеет > цеплять базы фиг знает откуда. Форенсики в случае адекватного админа добрым > словом вспомнят верификацию логов с ключом. Так по крайней мере понятно > - можно этому крапу верить или нет. А в текстовых логах > хакеры традиционно удаляют или подделывают записи. Это азы. Им блэкхэты учат > зеленых нубов, покуда надутые юниксадмины вещают о том как все круто. > Много лет есть автоматические тулкиты для удаления или подделки записей. > Если вдруг не проканало - форенсики привычные к всякому гуано. Вплоть до > бинаря дизассемблером. А тут в общем то сорцы есть, парсер есть, > сами сообщения таки текст, поэтому в целом проканает даже просто хексэдитором > посмотреть, если родная тулса вдруг почему-то не сжевала базу. То что > базы journalctl-у можно указывать и внешние - все наверное уже догадались. >> историй успехи расшифровки бинарных логов у ОС, где уже давно есть >> похожая на системду инфраструктура? > Кому реально надо - не разводят сопли на форумах, а находят за > 5 минут что-то типа https://www.forensicswiki.org/wiki/Windows_Event_Log_(EVT) - и > все вопросы отпадают. Там и тулсы перечислены, или если не подошли, > формат описан. В случае системды сорец парсера можно и официальный скачать, > в отличие от MS. >> Я в курсе, что этим никто не занимается, ибо можно накатить сверху из бекапа, > Этим занимаются те кто должен этим заниматься. Неспешно, в фоне, и как > правило из других соображений, как то попытки вычислить засранцев или восстановление > данных с порушенного диска. >> заменить докером другой докер и так далее. > ...а именно продакшн таки быстренько реанимируют как-то так. Без гребаных ливцд и > админов копающихся с ним. Если датарек с диском колупается, вычитывая максимум > - значит, в продакшн воткнут новый диск. Полудохлый диск все-равно использовать > в продакшне глупо. >> Только это не решение проблемы, а мазанье зелёнкой перелома. > Перелом тут в мозгах, имхо, если админы с ливцд лезут колупать боевую > систему. >> идти дальше не получится даже с палочкой. > Расскажи это вон тем форенсикам, что у них не получится. Они ребята > крутые, будет надо - научатся парить силой мысли. Те кто попроще > - и занимаются чем-то попроще, типа протяжкой витухи.
	Введите код, изображенный на картинке: