Jah, logifailide sisestamine võib olla kasutamisprotsessis kasulik. Näiteks siin on ekspluateerimine, mis kasutab PHP-koodi käivitamiseks Apache'i failis access_log PHP Local File Include haavatavust. See ärakasutamise muster on LAMP-maailmas levinud.

Enamikul süsteemidest puudub selle rünnakumustri eest kaitse. Tavaliselt on logifailid kaitstud operatsioonisüsteemide failidele juurdepääsu kontrollidega. AppArmor ja SELinux võivad takistada protsessi juurdepääsu suvalisele failile või kataloogile. PHP open_base_dir võib takistada PHP-l failide lisamist väljaspool rakenduste kataloogi.

Kauglogimine on suurepärane lahendus nii kohalike failide kaasamise rünnakute kui ka ohu jaoks, mille ründaja ohustab masinat ja manipuleerib logifailiga jälgede peitmiseks. / p>

See on auditeeritavuse tõestamisel suur probleem, kuna IT-inimestel on tavaliselt juurdepääs serveritele ja teoreetiliselt võivad nad logisid muuta.

Levinud lahendus on kirjutada logisid kuhugi, kuhu IT / Sysadmins jne ei pääse lisaks põhilistele syslogiserveritele, näiteks välisele saidile või WORM-draivile (kirjuta üks kord - loe palju)

See võimaldab teil kasutada tavalisi syslogiservereid igapäevase tõrkeotsingu, jõudlusanalüüsi jms jaoks. turvaliste logide säilitamine auditi või uurimise eesmärgil.

Muidugi võiks sihikindel ja osav ründaja liiklust kinni pidada kuid eesmärk on muuta see piisavalt keeruliseks, et mõned jäljed jäta.

See, kui väärt on nende turvamine - sõltub organisatsiooni vajadustest. Pangade ja suurettevõtete jaoks võib see olla hädavajalik / kohustuslik, samas kui väikese 5-liikmelise organisatsiooni jaoks võib see olla palju vähem prioriteetne.