Логирование действий пользователя
falrus 18 февраля, 2010 - 23:20
Добрый день!
Есть ли какой либо метод логировать информацию о попытках пользователя превысить права доступа?
К примеру: попытаться писАть в файл, принадлежащий root; попытаться читать файл, который ему читать нельзя; исполнять закрытые для него бинарники.
Впрочем, можно и не логировать, а просто выдавать в рутовую консоль
»
- Для комментирования войдите или зарегистрируйтесь
Попытка получить доступ к
Попытка получить доступ к закрытой информации в лог обычно не записывается, ибо криминала тут особого нет (возможно hardended/selinux ведут себя иначе). Вероятно потому,что программы типа du,ls,find будут генерировать ложные срабатывания при полном отсутсвии какого либо злого умысла. Другое дело - повышение полномочий. В лог однозначно попадают удачные и неудачные попытки повысить привилегии при помощи su/sudo. Как правило для отлова таких событий ставят анализаторы логов.
способ легкий, не всегда
способ легкий, не всегда рабочий, легко обходимый:
USE=bashlogger emerge -1 bash
способ сложнее, обходимый теоретически :
eselect 'hardened_profile', emerge grsec gentoo-hardened, emerge -e world, man grsec.etc
способ сложный, типо сертифцированный ( не на генте)
eselect 'selinux_profile'. emerge mls-policy :)
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
slepnoga написал(а): eselect
...ммм, к списку добавить gradm & paxtest & pax-utils и chpax :), переводим RBAC в режим обучения и т.д. и т.п.
Коротко о главном: Grsecurity & PaX