Temat: Logowanie root-a poprzez syslog-a
Filip Kata:
Drążąc dalej, nie zabezpieczy nas to przed wyłączeniem lub oczyszczeniem auditingu przez osoby mające roota. Niestety na rynku nie ma za dużo softu, który potrafi dane z auditingu ściągać na jakiś zewnętrzny serwer w czasie rzeczywistym.
Trudno zabezpieczyć się całkowicie przed zdolnym właścicielem roota :)
Można by trzymać auditing na wyshareowanym filesystemie i zgrywać w czasie rzeczywistym, a dodatkowo generować heartbeat'y utrudniające modyfikację auditingu lub share'a, ale to zawsze da się obejść.
Inną metodą jest monitorowanie połączeń do systemów np. "podsłuchiwanie" połączeń ssh i konsolowych. Ale tutaj też nie ma 100% szczelności.
Najlepiej po prostu dobrze opłacać administratorów ;)
Aczkolwiek na potrzeby audytu zewnętrznego, któryś z powyższych powinien "dać radę". Jeśli będą chcieli coś więcej to niech audytor zaproponuje 100% szczelne rozwiązanie :P