Existe uma maneira de pam_tty_audit nos contêineres do Linux OpenVZ?

1

Parece que o pam_tty_audit no Linux ( link ) poderia ter sido uma ótima maneira de ajudar descobrir "o que aconteceu!" quando alguém fica enraizado.

Eu digo "poderia ter sido" porque os rootkits limpam os logs e matam o log remoto antes de fazer qualquer outra coisa.

Digamos que eu saiba que alguns dos meus containers OpenVZ estão enraizados e confio que a raiz do meu hardware OpenVZ não funcionou. Eu poderia ter auditado do nó de hardware do OpenVZ em todos os TTYs dos contêineres?

    
por Aleksandr Levchuk 03.08.2011 / 08:02

1 resposta

1

Em vez de capturar logs de auditoria com auditd, você pode configurar o syslog no OpenVZ VE para enviar todos os logs para um servidor remoto (que pode ser o próprio OpenVZ HN, por exemplo). Assim, todos os eventos de auditoria estariam a salvo de um comprometimento da VE.

Estou marcando esta resposta como wiki, caso alguém queira fornecer mais detalhes.

    
por 03.08.2011 / 08:33