Hiroki Ishikawa, profile picture
Uploaded byHiroki Ishikawa
1,308 views

rsyslog + SE-PostgreSQL = ???

hbstudy#28 (当日力が抜けて死ぬほどぐだぐだした) LT

Embed presentation

Downloaded 10 times
hbstudy#28 LT rsyslog + PostgreSQL9.1.x= ??? ishikawa84g
Agenda 1. ログ 2. 目的 3. システム構成 4. rsyslog とは 5. PostgreSQL 9.1.x (SE-PostgreSQL) とは 6. Labeled IPSec とは 7. 設定 8. まとめ
1. ログ管理  今までのログ  定期的な監視  リソースチェック  障害の発見  インシデント発生時に利用  原因の特定  今のログ  新法制度への対応  社会的リスクマネジメント  セキュリティ要件の強化 ⇒ 「何かあってから」ではなく、「何もなくても」 → 根本は「何かあったらどうする!」だけど....
1. ログ管理  個別サーバでのログ収集の限界  全てのサーバに同一のポリシーを適用する  ローテート期間などの管理が難しい  システムマネジメントツールを利用すればある程度可能  システムの複雑化にともなうログの増加  ハードディスクを圧迫 →システムにも影響  事故または故意による保存ログ消失  基本的にログはファイルで管理される  # rm -rf /var/log/*
2. 目的  システムのポリシーを管理することは難しいが、  せめて、ログを消せない仕組みが欲しい  あと、欲を言うとログを一元管理したい  既存の仕組みで、できればタダで。  妄想2年(最近思い出した)
3. システム構成  以下、実証実験環境 ログ転送 普通のサーバ ログ保存用 (rsyslog) データベースサーバ (PostgreSQL9.1.x)
4. rsyslog とは  RHEL系で syslogd にとって代わってたシスログデーモン  http://www.rsyslog.com/  rsyslog の r は remote ではなく、reliable  reliable(信頼できる) syslog  主な機能  TCP によるログ転送  セキュアなログ転送が可能(stunnelを使用)  ログ処理が追いつかなくなった場合に、ログをプール可能  RFC3195(http://www.ietf.org/rfc/rfc3195.txt)サポート  標準機能として保存先にデータベースを指定可能
5. なぜ PostgreSQL 9.1.x?  普通の PostgreSQL です。  ただし!  Add a SECURITY LABEL command and support for SELinux permissions control  (PostgreSQL 9.1.0 リリースノートより)  OS レベルの MAC を DB でも制御可能  通称: SE-PostgreSQL  未踏ソフトウェア創造事業 にて 2006年 発表  2011年
5. SE-PostgreSQL とは  未踏ソフトウェア創造事業 にて 2006年 発表  作者は日本人: 海外浩平氏  2011年09月 PostgreSQL 9.1 (一部)標準機能へ  今までOSの権限とまったく結びつかず、 DB 内で最強だった Super User を制御する  同じ Super User を使った場合でも、 コマンドを実行したユーザの権限によって、 DB 内の権限を縮退させることが可能
5. SE-PostgreSQL とは  もっと具体的に  SELECT Only のテーブル  SELECT INERT Only のテーブル  特定のカラムやタプルを隠ぺい  ただし、View を使った場合には見えるとかとか  rsyslog への応用  ネットワーク経由で来たデータベースへのアクセスは SELECT, INSERT 以外許可しない  ログが消せないシステムができる!  勿論、死ぬほど INSERT されたら違う意味で死にます。  SELinux がどうとか関係ない問題
6. Labeled IPSec とは  IPSec の中にセキュリティラベルを混ぜる技術  今まで取得できなかったリモートのラベルを取得可能  ただし、対向も IPSec の設定が必要  Windows 等はラベルの仕組みがない  UnLabel (ラベルなし/ラベル不明)として到達  IPSec が無効な場合も UnLabel となる  困った・・・  UnLabel はFailback Context 機能で解決  分からない時は定義したラベルを付ける
後記  この時、デモが失敗しました。  詳しくはこの辺り参照ください。  PostgreSQL 9.1.0 で SE-PostgreSQL  http://2done.org/index.php?id=42  rsyslog + SE-PostgreSQL で改竄されない?ログ サーバ案  http://2done.org/index.php?id=44

More Related Content

PPT
使いこなせて安全なLinuxを目指して
byToshiharu Harada, Ph.D
 
PDF
[data security showcase Sapporo 2015] D27:運用担当者のための OpenSSL 入門 by ユーザーサイド株式会社...
byInsight Technology, Inc.
 
PDF
事故らないためのUnix(linux)オペレーション エスキュービズム勉強会0711
byエンジニア勉強会 エスキュービズム
 
PDF
オペレーティングシステム 第1回-公開用
byRuo Ando
 
PDF
Osc2017 tokyo spring_soss_sig
byKazuki Omo
 
PDF
RHELのEOLがCentOSに及ぼす影響
byKazuki Omo
 
PPTX
Metasploit framework
byzatslide
 
PDF
Rustを勉強してみた!
byssmylh
 
使いこなせて安全なLinuxを目指して
byToshiharu Harada, Ph.D
 
[data security showcase Sapporo 2015] D27:運用担当者のための OpenSSL 入門 by ユーザーサイド株式会社...
byInsight Technology, Inc.
 
事故らないためのUnix(linux)オペレーション エスキュービズム勉強会0711
byエンジニア勉強会 エスキュービズム
 
オペレーティングシステム 第1回-公開用
byRuo Ando
 
Osc2017 tokyo spring_soss_sig
byKazuki Omo
 
RHELのEOLがCentOSに及ぼす影響
byKazuki Omo
 
Metasploit framework
byzatslide
 
Rustを勉強してみた!
byssmylh
 

What's hot

PPTX
Linux Security
bysounakano
 
PDF
hbstudy# 28 SELinux HandsOn 公開版
byHiroki Ishikawa
 
PDF
Osc201703 tokyo-clonezilla-v1.2 j
byAkira Yoshiyama
 
PDF
systemdでよく使うサブコマンド
byKazuhiro Nishiyama
 
PPTX
そろそろSELinux を有効にしてみませんか?
byAtsushi Mitsu
 
PDF
システムコール
byMasahiro Tomita
 
POTX
LinuxをインストールしてWebサーバーを立ち上げてみよう
byMasataka Tsukamoto
 
PDF
超簡単!ActivePerlをWindows Serverにインストール
byShin Tanigawa
 
PDF
超簡単!OpenJDKをWindwos Serverにインストール
byShin Tanigawa
 
PPTX
Systemd入門
byTakuya Itou
 
ODP
Postgre SQL security_20170412
byKazuki Omo
 
KEY
RoR周辺知識15項目
bysaiwaki
 
PDF
20031020 「プロセス実行履歴に基づくアクセスポリシー自動生成システム」
byToshiharu Harada, Ph.D
 
ODP
サンドボックス化によるセキュアなプログラミング
byYikei Lu
 
PDF
オープンソースNW監視ツールのご紹介
byOSSラボ株式会社
 
PPTX
MUGT02 - vamp demo
byTetsuya Sodo
 
PDF
NMIS overview
byOSSラボ株式会社
 
PDF
OpenStack & SELinux
byHiroki Ishikawa
 
PDF
Autogenerated Stovepipe
byYusuke Ujitoko
 
PDF
SELinuxによる攻撃防止の例
byHiroki Ishikawa
 
Linux Security
bysounakano
 
hbstudy# 28 SELinux HandsOn 公開版
byHiroki Ishikawa
 
Osc201703 tokyo-clonezilla-v1.2 j
byAkira Yoshiyama
 
systemdでよく使うサブコマンド
byKazuhiro Nishiyama
 
そろそろSELinux を有効にしてみませんか?
byAtsushi Mitsu
 
システムコール
byMasahiro Tomita
 
LinuxをインストールしてWebサーバーを立ち上げてみよう
byMasataka Tsukamoto
 
超簡単!ActivePerlをWindows Serverにインストール
byShin Tanigawa
 
超簡単!OpenJDKをWindwos Serverにインストール
byShin Tanigawa
 
Systemd入門
byTakuya Itou
 
Postgre SQL security_20170412
byKazuki Omo
 
RoR周辺知識15項目
bysaiwaki
 
20031020 「プロセス実行履歴に基づくアクセスポリシー自動生成システム」
byToshiharu Harada, Ph.D
 
サンドボックス化によるセキュアなプログラミング
byYikei Lu
 
オープンソースNW監視ツールのご紹介
byOSSラボ株式会社
 
MUGT02 - vamp demo
byTetsuya Sodo
 
NMIS overview
byOSSラボ株式会社
 
OpenStack & SELinux
byHiroki Ishikawa
 
Autogenerated Stovepipe
byYusuke Ujitoko
 
SELinuxによる攻撃防止の例
byHiroki Ishikawa
 

Viewers also liked

PDF
#logstudy 01 rsyslog入門
byTakashi Takizawa
 
PDF
Ansibleはじめよぉ -Infrastructure as Codeを理解-
byShingo Kitayama
 
PDF
AppArmorの話
byHiroki Ishikawa
 
PDF
第9回 OpenStack 勉強会(Glance)
byHiroki Ishikawa
 
PDF
AvailabilityZoneとHostAggregate
byHiroki Ishikawa
 
PDF
運用のためのPlaybook (Playbook for Operation)
byShingo Kitayama
 
PDF
VlanManagerを使ってみた
byHiroki Ishikawa
 
PPTX
Sesearch
byHiroki Ishikawa
 
PPTX
OpenStackの情報をどこから得ているのか
byHiroki Ishikawa
 
PDF
OpenStackを体で操作する
byHiroki Ishikawa
 
PDF
気になるあのコにアタック☆
byHiroki Ishikawa
 
PDF
デブサミ2017【17-E-5】エンタープライズにおけるDevOpsの実態!Cloud Native Application Platformの選択
byShingo Kitayama
 
#logstudy 01 rsyslog入門
byTakashi Takizawa
 
Ansibleはじめよぉ -Infrastructure as Codeを理解-
byShingo Kitayama
 
AppArmorの話
byHiroki Ishikawa
 
第9回 OpenStack 勉強会(Glance)
byHiroki Ishikawa
 
AvailabilityZoneとHostAggregate
byHiroki Ishikawa
 
運用のためのPlaybook (Playbook for Operation)
byShingo Kitayama
 
VlanManagerを使ってみた
byHiroki Ishikawa
 
Sesearch
byHiroki Ishikawa
 
OpenStackの情報をどこから得ているのか
byHiroki Ishikawa
 
OpenStackを体で操作する
byHiroki Ishikawa
 
気になるあのコにアタック☆
byHiroki Ishikawa
 
デブサミ2017【17-E-5】エンタープライズにおけるDevOpsの実態!Cloud Native Application Platformの選択
byShingo Kitayama
 

Similar to rsyslog + SE-PostgreSQL = ???

PPTX
監査要件を有するシステムに対する PostgreSQL 導入の課題と可能性
byOhyama Masanori
 
PDF
[C31] OSS-DB Exam Silver 技術解説セミナー by Ryota Watabe
byInsight Technology, Inc.
 
PDF
PostgreSQLのパラレル化に向けた取り組み@第30回(仮名)PostgreSQL勉強会
byShigeru Hanada
 
PDF
PostgreSQLのトラブルシューティング@第5回中国地方DB勉強会
byShigeru Hanada
 
PDF
PostgreSQL運用管理入門
byYoshiyuki Asaba
 
PDF
アナリティクスをPostgreSQLで始めるべき10の理由@第6回 関西DB勉強会
bySatoshi Nagayasu
 
PDF
PostgreSQLの新バージョン -PostgreSQL9.4- のご紹介
byInsight Technology, Inc.
 
PDF
Ntt tx-study-postgre sql-10
byToshi Harada
 
PDF
PostgreSQL10徹底解説
byMasahiko Sawada
 
PDF
Kof2016 postgresql-9.6
byToshi Harada
 
PDF
PostgreSQLではじめるOSS開発@OSC 2014 Hiroshima
byShigeru Hanada
 
PDF
PostgreSQL13を検証してみた
byNaoya Takeuchi
 
PDF
位置情報を使ったサービス「スマポ」をPostgreSQLで作ってみた db tech showcase 2013 Tokyo
byYoshiyuki Asaba
 
PDF
20130203 oss-db-lpi
byShinichi Matsuda
 
PDF
20130203 OSS-DB Exam Silver 技術解説無料セミナー
byKazuko Itoda
 
PDF
Chugoku db 17th-postgresql-9.6
byToshi Harada
 
PDF
KOF2015 PostgreSQL 9.5
byToshi Harada
 
PDF
20171106 ntt-tx-postgre sql-10
byToshi Harada
 
PDF
20171028 osc-nagaoka-postgre sql-10
byToshi Harada
 
PDF
Hackers Champloo 2016 postgresql-9.6
byToshi Harada
 
監査要件を有するシステムに対する PostgreSQL 導入の課題と可能性
byOhyama Masanori
 
[C31] OSS-DB Exam Silver 技術解説セミナー by Ryota Watabe
byInsight Technology, Inc.
 
PostgreSQLのパラレル化に向けた取り組み@第30回(仮名)PostgreSQL勉強会
byShigeru Hanada
 
PostgreSQLのトラブルシューティング@第5回中国地方DB勉強会
byShigeru Hanada
 
PostgreSQL運用管理入門
byYoshiyuki Asaba
 
アナリティクスをPostgreSQLで始めるべき10の理由@第6回 関西DB勉強会
bySatoshi Nagayasu
 
PostgreSQLの新バージョン -PostgreSQL9.4- のご紹介
byInsight Technology, Inc.
 
Ntt tx-study-postgre sql-10
byToshi Harada
 
PostgreSQL10徹底解説
byMasahiko Sawada
 
Kof2016 postgresql-9.6
byToshi Harada
 
PostgreSQLではじめるOSS開発@OSC 2014 Hiroshima
byShigeru Hanada
 
PostgreSQL13を検証してみた
byNaoya Takeuchi
 
位置情報を使ったサービス「スマポ」をPostgreSQLで作ってみた db tech showcase 2013 Tokyo
byYoshiyuki Asaba
 
20130203 oss-db-lpi
byShinichi Matsuda
 
20130203 OSS-DB Exam Silver 技術解説無料セミナー
byKazuko Itoda
 
Chugoku db 17th-postgresql-9.6
byToshi Harada
 
KOF2015 PostgreSQL 9.5
byToshi Harada
 
20171106 ntt-tx-postgre sql-10
byToshi Harada
 
20171028 osc-nagaoka-postgre sql-10
byToshi Harada
 
Hackers Champloo 2016 postgresql-9.6
byToshi Harada
 

rsyslog + SE-PostgreSQL = ???

  • 1.
    hbstudy#28 LT rsyslog +PostgreSQL9.1.x= ??? ishikawa84g
  • 2.
    Agenda 1. ログ 2. 目的 3. システム構成 4. rsyslog とは 5. PostgreSQL 9.1.x (SE-PostgreSQL) とは 6. Labeled IPSec とは 7. 設定 8. まとめ
  • 3.
    1. ログ管理  今までのログ  定期的な監視  リソースチェック  障害の発見  インシデント発生時に利用  原因の特定  今のログ  新法制度への対応  社会的リスクマネジメント  セキュリティ要件の強化 ⇒ 「何かあってから」ではなく、「何もなくても」 → 根本は「何かあったらどうする!」だけど....
  • 4.
    1. ログ管理  個別サーバでのログ収集の限界  全てのサーバに同一のポリシーを適用する  ローテート期間などの管理が難しい  システムマネジメントツールを利用すればある程度可能  システムの複雑化にともなうログの増加  ハードディスクを圧迫 →システムにも影響  事故または故意による保存ログ消失  基本的にログはファイルで管理される  # rm -rf /var/log/*
  • 5.
    2. 目的  システムのポリシーを管理することは難しいが、  せめて、ログを消せない仕組みが欲しい  あと、欲を言うとログを一元管理したい  既存の仕組みで、できればタダで。  妄想2年(最近思い出した)
  • 6.
    3. システム構成  以下、実証実験環境 ログ転送 普通のサーバ ログ保存用 (rsyslog) データベースサーバ (PostgreSQL9.1.x)
  • 7.
    4. rsyslog とは  RHEL系で syslogd にとって代わってたシスログデーモン  http://www.rsyslog.com/  rsyslog の r は remote ではなく、reliable  reliable(信頼できる) syslog  主な機能  TCP によるログ転送  セキュアなログ転送が可能(stunnelを使用)  ログ処理が追いつかなくなった場合に、ログをプール可能  RFC3195(http://www.ietf.org/rfc/rfc3195.txt)サポート  標準機能として保存先にデータベースを指定可能
  • 8.
    5. なぜ PostgreSQL9.1.x?  普通の PostgreSQL です。  ただし!  Add a SECURITY LABEL command and support for SELinux permissions control  (PostgreSQL 9.1.0 リリースノートより)  OS レベルの MAC を DB でも制御可能  通称: SE-PostgreSQL  未踏ソフトウェア創造事業 にて 2006年 発表  2011年
  • 9.
    5. SE-PostgreSQL とは  未踏ソフトウェア創造事業 にて 2006年 発表  作者は日本人: 海外浩平氏  2011年09月 PostgreSQL 9.1 (一部)標準機能へ  今までOSの権限とまったく結びつかず、 DB 内で最強だった Super User を制御する  同じ Super User を使った場合でも、 コマンドを実行したユーザの権限によって、 DB 内の権限を縮退させることが可能
  • 10.
    5. SE-PostgreSQL とは  もっと具体的に  SELECT Only のテーブル  SELECT INERT Only のテーブル  特定のカラムやタプルを隠ぺい  ただし、View を使った場合には見えるとかとか  rsyslog への応用  ネットワーク経由で来たデータベースへのアクセスは SELECT, INSERT 以外許可しない  ログが消せないシステムができる!  勿論、死ぬほど INSERT されたら違う意味で死にます。  SELinux がどうとか関係ない問題
  • 11.
    6. Labeled IPSecとは  IPSec の中にセキュリティラベルを混ぜる技術  今まで取得できなかったリモートのラベルを取得可能  ただし、対向も IPSec の設定が必要  Windows 等はラベルの仕組みがない  UnLabel (ラベルなし/ラベル不明)として到達  IPSec が無効な場合も UnLabel となる  困った・・・  UnLabel はFailback Context 機能で解決  分からない時は定義したラベルを付ける
  • 12.
    後記  この時、デモが失敗しました。  詳しくはこの辺り参照ください。  PostgreSQL 9.1.0 で SE-PostgreSQL  http://2done.org/index.php?id=42  rsyslog + SE-PostgreSQL で改竄されない?ログ サーバ案  http://2done.org/index.php?id=44