Andreas Hasenack wrote:
>
> Em Wed, Mar 21, 2001 at 11:42:08AM -0300, Bráulio W. Gergull escreveu:
> > > Em qual log do meu server posso ver o que aconteceu de verdade?
> >
> > Os logs ficam ficam em /var/log, mas o invasor provavelmente já apagou
> > tudo justamente para vc não poder verificar o que aconteceu.
>
> Use um servidor de logs, aí é mais uma máquina para invadir e tentar
> apagar os logs. O pior que pode acontecer é os logs ficarem "cheios"
> (acabar espaço em disco) e você não saber o que aconteceu depois, mas
> dá para ter uma idéia de como se entrou.
>
> Claro, não pode ser um servidor de logs com o sysklogd vulnerável ao
> format bug... ;)
Ou então envia os logs para o servidor de logs via interface serial, aí
fica impossível apagar os logs. É claro que o servidor não deverá estar
ligado na rede, apenas via serial no servidor que se quer monitorar.
[]s,
Bráulio Gergull
Assinantes em 22/03/2001: 2196
Mensagens recebidas desde 07/01/1999: 105692
Historico e [des]cadastramento: http://linux-br.conectiva.com.br
Assuntos administrativos e problemas com a lista:
mailto:[EMAIL PROTECTED]
