R: Archivio di /var/log/wtmp
Luca Giuzzi
giuzzi a dmf.bs.unicatt.it
Dom 29 Ott 2000 15:03:41 UTC
Mah.. log a livello "atomico" e' fattibile, ma FORTEMENTE sconsigliato per
vari motivi:
1. dove vuoi installare il logger? A livello di kernel (syscalls), a livello
di libc (funzioni) o a livello di shell (comandi)?
2. quale e' l'overhead? mai provato a fare uno strace(1) di un programmino
semplice come ls? Prova a guarda la quantita' di informazioni in transito...
Un logger relativo la shell e' facilissimo da bypassare (vedi la faccenda rsh
= restricted shell distribuita con sendmail... basta rinominare la bash
ls e si `sfugge' alla gabbia); un logger relativo la glibc soffre comunque
degli stessi problemi di strace e non e' troppo indicativo. Il process
accounting potrebbe essere un po' piu' utile, ma non e' comunque disegnato
per monitorare i comportamenti: solo il profilo d'uso del sistema.
3. quali sono i tuoi diritti sul sistema? essere l'amministratore non vuol
dire che puoi leggere la posta di tutti i tuoi utenti o guardare
costantemente quello che fanno: non e' legale e NON VUOI farlo: la
responsabilita' sarebbe semplicemente troppa; e' buona cosa poter indagare
se ci sono situazioni `sospette', ma anche in quel caso si deve stare
molto attenti.
Il /var/log/messages fornisce informazioni sullo stato del sistema e/o
su vari servizi attivati. wtmp/btmp memorizzano tutti i logins sulla
macchina: dati utili SIA per l'amministratore SIA per gli utenti...
e' bene controllare che nessuno si sia introdotto nottempo nel proprio
account. Per la sorveglianza si devono usare una selezione di metodi
diversi...
Ciao,
lg
Maggiori informazioni sulla lista
Lug
|