Компания McAfee разработала (http://www.jonathanlevin.co.uk/2012/03/mcafee-mysql-audit-pl...) открытый плагин для организации процесса аудита MySQL, позволяющего проконтролировать все действия пользователей СУБД. Поддерживается ведения лога активности СУБД в формате JSON, лог может сохраняться в файл или передаваться через Unix-сокет. Код плагина mysql-audit (https://github.com/mcafee/mysql-audit) распространяется под лицензией GPLv2. Поддерживаются ветки MySQL 5.1 и 5.5.
Открытый плагин mysql-audit разработан в рамках проекта по созданию нового коммерческого пакета McAfee для защиты СУБД MySQL, который нацелен на обеспечение блокирования всех видов угроз в режиме реального времени, без необходимости ручного вмешательства и остановки базы для установки обновлений (заявлено о создании техники "виртуальных патчей" для работающей СУБД, подробности не сообщаются, но судя по всему они реализованы через подключения дополнительного плагина к MySQL, выступающего в роли фильтра, отсеивающего запросы, эксплуатирующие уязвимости в СУБД и web-приложениях. Из открытых аналогов можно отметить GreenSQL-FW (http://www.opennet.me/opennews/art.shtml?num=24520)).
URL: http://www.net-security.org/secworld.php?id=12651
Новость: http://www.opennet.me/opennews/art.shtml?num=33451
Для хостеров поди актуально?
не представляю зачем оно нам нужно.
В чем конкретно заключаются особенности этого плагина? Логи вести MySQL вроде и сама умеет, разве что не в JSON (а это зачем вообще?).>> выступающего в роли фильтра, отсеивающего запросы, эксплуатирующие уязвимости в СУБД и web-приложениях.
Что, фильтрует все DROP TABLE? Как на уровне СУБД, можно понять какой запрос эксплуатирует уязвимость, а какой является частью бизнес-логики приложения?
Наверное прописываются правила. А как еще.
Скорее всего анализируют на использование конкатенации запросов (что есть предрасположенность к дыре) и наличие SQL-inject.К примеру запрос вида "SELECT * FROM messages WHERE id = ''; SELECT username, password FROM users" должен вызвать праведный гнев у антивируса ;)))
> Логи вести MySQL вроде и сама умеет, разве что не в JSON (а это зачем вообще?).умеет, но, к сожалению, нельзя настроить что логировать а что нет, указать нужную для логирования БД и тд. подобное можно решать mysql-proxy+lua скриптами, но это еще 1 точка отказа
зачем json - хз
> подобное можно решать mysql-proxy+lua скриптами,
> но это еще 1 точка отказаПоделие от mcafee - тоже ещё одна точка отказа.
Но mysql-proxy+скрипты ещё можно контролировать логику работы.
А mcafee - нет.
Что там программисты mcafee определят иньекцией, а что - легитимным запросом - хз.Имхо, не самый лучший антивирусник.
На десктопе его ещё можно потерпеть (или удалить).
А вот, будучи в здравом уме и твердой памяти, самому встроить в субд ...
Добровольцы есть?)
пилят....
это не антивирус, это аудит.
оч полезная штука в хозяйстве.
> Но mysql-proxy+скрипты ещё можно контролировать логику работы.
> А mcafee - нет.это достоверная информация?
если engine будет в виде so`шки то да, а если с кодом?> Что там программисты mcafee определят иньекцией, а что - легитимным запросом -
> хз.полагаю, что логи есть/будут и там. т.о. это не более чем чья-то паранойа;(
> Имхо, не самый лучший антивирусник.
> На десктопе его ещё можно потерпеть (или удалить).не знаю. нет у меня на десктопе антивирусов. и не знаю зачем они мне.
> не знаю. нет у меня на десктопе антивирусов. и не знаю зачем
> они мне.Если у вас есть винда и есть кто-то ещё, кто пользуется компом, рискуете узнать.