1 |
16.07.2012 21:16, Anton Ananich пишет: |
2 |
> Здравствуйте! |
3 |
> |
4 |
> В Gentoo Security Handbook есть заметка про Logcheck: |
5 |
> http://www.gentoo.org/doc/en/security/security-handbook.xml?part=1&chap=3#doc_chap5 |
6 |
> |
7 |
> Меня интересует: если сервер взломали, то что мешает злоумышленникам |
8 |
> подчистить логи? Поскольку Logcheck отрабатывает 1 раз в сутки, то |
9 |
> вероятно администратор ничего и не заподозрит. |
10 |
> |
11 |
> Значит ли это, что нужно обязательно использовать remote logging? |
12 |
> |
13 |
> Если ли другие инструменты для просмотра логов и слежения за ними? |
14 |
> |
15 |
> С уважением, |
16 |
> Антон |
17 |
|
18 |
ИМХО, 100% гарантией неизменности логов в подобном случае может быть |
19 |
только их отправка на другую машину, желательно не по UDP. Тогда |
20 |
злоумышленник, имеющий root-доступ к скомпрометированному серверу не |
21 |
сможет изменить те логи, что уже были отправлены на удаленную машину |