Discussion :

[fatima-titima]

Bonjour,

Dans le cadre de mon stage , je doit faire " Test et validation " de toute les exigences de la partie sécurité d'une application .

pour la gestion des logs , je doit tester et valider :

1- Les événements liés au contrôle d’accès sont enregistrés dans un journal dont le contenu ne peut être modifié.
2-Les journaux peuvent être centralisés et exportés vers un système tiers, par un protocole standard ( nous avons choisis SCP pour le transfert de fichiers logs)
3-les informations suivantes ( X) seront sauvegardées sur une période de 12 mois, puis supprimées
4-La durée de rétention d'un événement journalisé au niveau d'un équipement est au minimum de 10 jours

pour le premier point j'ai eu l'idée de se connecter tous simplement et essayer de modifier le fichier logs et vérifier que ce n'est pas possible
par contre pour les autres points , je n'ai aucune idée sur comment je pourrait les tester.

J'atted vos propositons svp, sachant qu'on vas utiliser SLF4J et LOG4J pour les logs applicatifs et Journald pour les logs Systems . Merci

[BufferBob]

salut,

1- Les événements liés au contrôle d’accès sont enregistrés dans un journal dont le contenu ne peut être modifié.

la question à mon avis est surtout celle des droits d'accès au fichier, des utilisateurs peuvent voir le contenu des logs du serveur web, mais ils ne peuvent pas les modifier par exemple

2-Les journaux peuvent être centralisés et exportés vers un système tiers, par un protocole standard ( nous avons choisis SCP pour le transfert de fichiers logs)

la centralisation c'est une fonctionnalité du service de journalisation, par contre ça transite en UDP derrière, wrapper le traffic dans un vpn/un tunnel ssh peut être pertinent (comme pour snmp)
s'assurer qu'elle fonctionne c'est générer un évènement test et vérifier qu'on le récupère bien sur le concentrateur

l'export on parle de fichiers qui sont "finalisés", dans lesquels on écrit plus (à l'inverse de la centralisation qui envoie chaque ligne sur le réseau au concentrateur en temps réel)
la question c'est surtout celle d'avoir une moulinette efficace, un script bash, perl ou ce qu'on veut qui s'exécute en cron régulièrement, backup et fait le ménage derrière lui, en le codant on peut facilement faire des tests pour s'assurer que ça marche

3-les informations suivantes ( X) seront sauvegardées sur une période de 12 mois, puis supprimées

4-La durée de rétention d'un événement journalisé au niveau d'un équipement est au minimum de 10 jours

juste avant l'intervention du script bash, c'est le propos d'outils comme logrotate, là encore on peut facilement invoquer la commande sur un jeu de test pour vérifier que la configuration fonctionne comme attendu

à la fin si on veut vraiment faire les choses bien on prend l'empreinte sha512 des configurations et scripts permettant de valider l'ensemble, et on s'assure à fréquence régulière que rien ne bouge (le job d'un HIDS donc)