| 1 |
16.07.2012 21:16, Anton Ananich пишет: |
| 2 |
> Здравствуйте! |
| 3 |
> |
| 4 |
> В Gentoo Security Handbook есть заметка про Logcheck: |
| 5 |
> http://www.gentoo.org/doc/en/security/security-handbook.xml?part=1&chap=3#doc_chap5 |
| 6 |
> |
| 7 |
> Меня интересует: если сервер взломали, то что мешает злоумышленникам |
| 8 |
> подчистить логи? Поскольку Logcheck отрабатывает 1 раз в сутки, то |
| 9 |
> вероятно администратор ничего и не заподозрит. |
| 10 |
> |
| 11 |
> Значит ли это, что нужно обязательно использовать remote logging? |
| 12 |
> |
| 13 |
> Если ли другие инструменты для просмотра логов и слежения за ними? |
| 14 |
> |
| 15 |
> С уважением, |
| 16 |
> Антон |
| 17 |
|
| 18 |
ИМХО, 100% гарантией неизменности логов в подобном случае может быть |
| 19 |
только их отправка на другую машину, желательно не по UDP. Тогда |
| 20 |
злоумышленник, имеющий root-доступ к скомпрометированному серверу не |
| 21 |
сможет изменить те логи, что уже были отправлены на удаленную машину |
Archives