URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 83791
[ Назад ]

Исходное сообщение
"Компания McAfee представила открытый плагин для аудита MySQL"

Отправлено opennews , 26-Мрт-12 23:33 
Компания McAfee разработала (http://www.jonathanlevin.co.uk/2012/03/mcafee-mysql-audit-pl...) открытый плагин для организации процесса аудита MySQL, позволяющего проконтролировать все действия пользователей СУБД. Поддерживается ведения лога активности СУБД в  формате JSON, лог может сохраняться в файл или передаваться через Unix-сокет. Код плагина mysql-audit (https://github.com/mcafee/mysql-audit) распространяется под лицензией GPLv2. Поддерживаются ветки MySQL 5.1 и 5.5.


Открытый плагин mysql-audit разработан в рамках проекта по созданию нового коммерческого пакета McAfee для защиты СУБД MySQL, который нацелен на обеспечение блокирования всех видов угроз в режиме реального времени, без необходимости ручного вмешательства и остановки базы для установки обновлений (заявлено о создании техники "виртуальных патчей" для работающей СУБД, подробности не сообщаются, но судя по всему они реализованы через подключения дополнительного плагина к MySQL, выступающего в роли фильтра, отсеивающего запросы, эксплуатирующие уязвимости в СУБД и web-приложениях. Из открытых аналогов можно отметить GreenSQL-FW (http://www.opennet.me/opennews/art.shtml?num=24520)).

URL: http://www.net-security.org/secworld.php?id=12651
Новость: http://www.opennet.me/opennews/art.shtml?num=33451


Содержание

Сообщения в этом обсуждении
"Компания McAfee представила открытый плагин для аудита MySQL"
Отправлено mef_ , 26-Мрт-12 23:33 
Для хостеров поди актуально?

"Компания McAfee представила открытый плагин для аудита MySQL"
Отправлено Аноним , 27-Мрт-12 13:17 
не представляю зачем оно нам нужно.

"Компания McAfee представила открытый плагин для аудита MySQL"
Отправлено Аноним , 27-Мрт-12 06:21 
В чем конкретно заключаются особенности этого плагина? Логи вести MySQL вроде и сама умеет, разве что не в JSON (а это зачем вообще?).

>> выступающего в роли фильтра, отсеивающего запросы, эксплуатирующие уязвимости в СУБД и web-приложениях.

Что, фильтрует все DROP TABLE? Как на уровне СУБД, можно понять какой запрос эксплуатирует уязвимость, а какой является частью бизнес-логики приложения?


"Компания McAfee представила открытый плагин для аудита MySQL"
Отправлено jedie , 27-Мрт-12 07:13 
Наверное прописываются правила. А как еще.

"Компания McAfee представила открытый плагин для аудита MySQL"
Отправлено VoDA , 27-Мрт-12 09:06 
Скорее всего анализируют на использование конкатенации запросов (что есть предрасположенность к дыре) и наличие SQL-inject.

К примеру запрос вида "SELECT * FROM messages WHERE id = ''; SELECT username, password FROM users" должен вызвать праведный гнев у антивируса ;)))


"Компания McAfee представила открытый плагин для аудита MySQL"
Отправлено тигар , 27-Мрт-12 10:31 
> Логи вести MySQL вроде и сама умеет, разве что не в JSON (а это зачем вообще?).

умеет, но, к сожалению, нельзя настроить что логировать а что нет, указать нужную для логирования БД и тд. подобное можно решать mysql-proxy+lua скриптами, но это еще 1 точка отказа
зачем json - хз


"Компания McAfee представила открытый плагин для аудита MySQL"
Отправлено XoRe , 27-Мрт-12 20:14 
> подобное можно решать mysql-proxy+lua скриптами,
> но это еще 1 точка отказа

Поделие от mcafee - тоже ещё одна точка отказа.
Но mysql-proxy+скрипты ещё можно контролировать логику работы.
А mcafee - нет.
Что там программисты mcafee определят иньекцией, а что - легитимным запросом - хз.

Имхо, не самый лучший антивирусник.
На десктопе его ещё можно потерпеть (или удалить).
А вот, будучи в здравом уме и твердой памяти, самому встроить в субд ...
Добровольцы есть?)


"Компания McAfee представила открытый плагин для аудита MySQL"
Отправлено ананим , 27-Мрт-12 20:57 
пилят....
это не антивирус, это аудит.
оч полезная штука в хозяйстве.

"Компания McAfee представила открытый плагин для аудита MySQL"
Отправлено тигар , 27-Мрт-12 22:32 
> Но mysql-proxy+скрипты ещё можно контролировать логику работы.
> А mcafee - нет.

это достоверная информация?
если engine будет в виде so`шки то да, а если с кодом?

> Что там программисты mcafee определят иньекцией, а что - легитимным запросом -
> хз.

полагаю, что логи есть/будут и там. т.о. это не более чем чья-то паранойа;(

> Имхо, не самый лучший антивирусник.
> На десктопе его ещё можно потерпеть (или удалить).

не знаю. нет у меня на десктопе антивирусов. и не знаю зачем они мне.


"Компания McAfee представила открытый плагин для аудита MySQL"
Отправлено XoRe , 28-Мрт-12 04:37 
> не знаю. нет у меня на десктопе антивирусов. и не знаю зачем
> они мне.

Если у вас есть винда и есть кто-то ещё, кто пользуется компом, рискуете узнать.