Автор Тема: журналирование в кентавре [решено]  (Прочитано 5088 раз)

Оффлайн c-villain

  • Завсегдатай
  • *
  • Сообщений: 59
    • Email
в кентавре, как я понимаю, отдельной учетной записи для аудирования нет... все администрирование ведется из под рута?
Вопрос: есть ли в кентавре предупреждение о грядущем переполнении? и если есть, какая реакция у него?
« Последнее редактирование: 18.10.2010 20:08:25 от Skull »

Оффлайн c-villain

  • Завсегдатай
  • *
  • Сообщений: 59
    • Email
Re: журналирование в кентавре
« Ответ #1 : 17.10.2010 16:31:43 »
и еще, можно ли как-то отделить аудиторов от админов, т.е. сделать например следующее: чтобы рут не мог просмарить логи с инфой. chmod и удаление из группы adm не работает)) он по-прежнему смотрит и все) может есть какой-то другой способ?

Оффлайн ruslandh

  • Поспешай не торопясь !
  • Модератор глобальный
  • *****
  • Сообщений: 32 246
  • Учиться .... Телепатами не рождаются, ими ....
    • Email
Re: журналирование в кентавре
« Ответ #2 : 17.10.2010 18:01:08 »
Мне кажется, что  полного аудирования в Кентавре просто нет. Есть только отдельные части. Для этого нужен специальный дистрибутив, типа MCBC. или "большой напильник" и большое желание.

Хорошо, если я ошибаюсь.

Оффлайн Rezedent12

  • Завсегдатай
  • *
  • Сообщений: 640
  • Цель оправдывает средства.
Re: журналирование в кентавре
« Ответ #3 : 17.10.2010 18:02:14 »
Вообще, советую посмотреть права на каталоги и файлы в /var/log
Если каталог доступен только для рута, то ведь можно создать группу auditor и присвоить нужные файлы этой группе, а в неё внести нужных пользователей.
Можно даже просто создать пользователя auditor и появиться одноимённая группа.
Так же, пользователи группы adm имеют исключительно права на чтение некоторых каталогов в /var/log . Пользователь может быть кстати в множестве групп. Откройте файл /etc/group и посмотрите (редактировать можно).
Группа root даёт право на чтение данных доступных руту для редактирования.
Касаемо переполнения, что угрожает переполниться?

Оффлайн c-villain

  • Завсегдатай
  • *
  • Сообщений: 59
    • Email
Re: журналирование в кентавре
« Ответ #4 : 17.10.2010 18:04:26 »
хм... да, похоже на то)))
и еще в каком логе хранится инфа о том, что какой-то юзер сделал su? (если вообще такой лог есть)...
или более обще: как вообще аудит реагирует на su?

Оффлайн ruslandh

  • Поспешай не торопясь !
  • Модератор глобальный
  • *****
  • Сообщений: 32 246
  • Учиться .... Телепатами не рождаются, ими ....
    • Email
Re: журналирование в кентавре
« Ответ #5 : 17.10.2010 18:08:54 »
/var/log/auth/all
/var/log/auth/secure

Оффлайн c-villain

  • Завсегдатай
  • *
  • Сообщений: 59
    • Email
Re: журналирование в кентавре
« Ответ #6 : 17.10.2010 18:10:28 »
Вообще, советую посмотреть права на каталоги и файлы в /var/log
Если каталог доступен только для рута, то ведь можно создать группу auditor и присвоить нужные файлы этой группе, а в неё внести нужных пользователей.
Можно даже просто создать пользователя auditor и появиться одноимённая группа.
Так же, пользователи группы adm имеют исключительно права на чтение некоторых каталогов в /var/log . Пользователь может быть кстати в множестве групп. Откройте файл /etc/group и посмотрите (редактировать можно).
Группа root даёт право на чтение данных доступных руту для редактирования.
Касаемо переполнения, что угрожает переполниться?
Угу, создать нового пользователя-аудитора, или присвоить соответсвующие права какому-то пользователю - эт не проблема... по умолчанию, все папки в /var/log доступны только на чтение группе adm (помимо root- которму можно все)... соотвестенно, можно просто пользователя внести в эту группу) просто интересно, можно как-то именно root-а ограничить в просмотре аудита...?
Касаемо переполнения, что угрожает переполниться?
вообще, интересно, может ли аудит переполниться..? и система реагирует на это?=)

Оффлайн c-villain

  • Завсегдатай
  • *
  • Сообщений: 59
    • Email
Re: журналирование в кентавре
« Ответ #7 : 17.10.2010 18:12:22 »
/var/log/auth/all
/var/log/auth/secure
Отлично, спасибо  :)

Оффлайн c-villain

  • Завсегдатай
  • *
  • Сообщений: 59
    • Email
Re: журналирование в кентавре
« Ответ #8 : 17.10.2010 18:48:18 »
таким образом, открытым остается вопрос: при переполнении аудита линукс как-то оповещает об этом или нет?

Оффлайн ruslandh

  • Поспешай не торопясь !
  • Модератор глобальный
  • *****
  • Сообщений: 32 246
  • Учиться .... Телепатами не рождаются, ими ....
    • Email
Re: журналирование в кентавре
« Ответ #9 : 17.10.2010 18:55:58 »
А что такое "переполнение аудита" ? Как я понимаю логи аудита так-же обрабатываются logratate, как и все остальные логи. И там-же настраивается политика их сохранения и удаления.

Оффлайн c-villain

  • Завсегдатай
  • *
  • Сообщений: 59
    • Email
Re: журналирование в кентавре
« Ответ #10 : 17.10.2010 19:14:07 »
На примере этой утилиты для ротации... Если размер файла близок к размеру для ротации, будет ли какое- то предупреждение об этом? и как в этом случае произойдет ротация? автоматически или утилиту надо вызывать?

Оффлайн ruslandh

  • Поспешай не торопясь !
  • Модератор глобальный
  • *****
  • Сообщений: 32 246
  • Учиться .... Телепатами не рождаются, ими ....
    • Email
Re: журналирование в кентавре
« Ответ #11 : 17.10.2010 19:21:31 »
см man logrotate

PS Он на русском языке

Оффлайн c-villain

  • Завсегдатай
  • *
  • Сообщений: 59
    • Email
Re: журналирование в кентавре
« Ответ #12 : 17.10.2010 19:24:45 »
ок, спс)
и все таки размер каталога /var я должен сам отслеживать?

Оффлайн c-villain

  • Завсегдатай
  • *
  • Сообщений: 59
    • Email
Re: журналирование в кентавре
« Ответ #13 : 17.10.2010 19:47:24 »
спасибо, разобрался.