The auditdistd daemon TCP/IP hálózaton keresztül továbbítja az audit rekordokat a helyi rendszerről egy távoli rendszerre amely szintén futtat auditdistd daemont.
Robert N M Watson tegnap bejelentette, hogy commitolta az utolsó kódrészeket, amelyek ahhoz szükségesek, hogy a felhasználó telepíthesse a nemrég beolvasztott Audit Distribution Daemon-t (auditdistd). A auditdistd Pawel Dawidek munkájának és a FreeBSD Foundation szponzorációjának köszönhetően kerülhetett a FreeBSD-be.
Watson megjegyezte, hogy a FreeBSD.org cluster ellen nemrég elkövetett támadás bebizonyította, hogy nagyon nem mindegy, hogy a tényfeltáró munka során rendelkezésre állnak-e megbízható és részletes audit logok vagy sem. Watson reméli, hogy a auditdistd birtokában a FreeBSD projekt (és a projekt felhasználói) sokkal jobb tényfeltáró munkát végezhet a jövőben.
Részletek a bejelentésben.
- A hozzászóláshoz be kell jelentkezni
Hozzászólások
tudjatok be annak, hogy eleg faradt vagyok ma mar..., de mi pl. minden syslog-ba kerulo esemenyt (igy az audit esemenyeket is) felsobb elrendelesre kotelesek vagyunk tovabbitani egy kozponti audit/syslog-gyujto kiszolgalora. a fenti megoldas is ezt es/vagy hasonlot vegez? (ha igen, akkor feltalaltak a spanyolviaszt?)
--
A gyors gondolat többet ér, mint a gyors mozdulat.
- A hozzászóláshoz be kell jelentkezni
Tulajdonképpen hasonlót, csak másra. Ez a kernel által generált BSM audit logokról, illetve azok minél gyorsabb, megbízhatóbb másik hostra lapátolásáról szól.
Ezeket ugyan lehetne syslogon is továbbítani, de azzal egyrészt nehézkes az eredeti formátum átadása, másrészt a cikkben szereplő linken leírt célok bizonyos része is sérülne (konkrét syslog implementációtól függően persze).
--
zsebHUP-ot használok!
- A hozzászóláshoz be kell jelentkezni