看起来像 Linux 中的 pam_tty_audit(http://www.slashzero.com/2009/11/shell-session-logging/) 可能是一种很好的方法,可以帮助弄清楚当一个人扎根时“发生了什么事!”。
我说“可能”是因为 rootkit 在执行任何其他操作之前会清理日志并终止远程日志记录。
假设我知道我的一些 OpenVZ 容器已获得 root 权限,并且我相信我的 OpenVZ 硬件没有获得 root 权限。我可以从 OpenVZ 硬件节点上的所有容器 TTY 进行审计吗?
答案1
您无需使用 auditd 捕获审计日志,而是可以在 OpenVZ VE 上配置 syslog,将所有日志发送到远程服务器(例如,可以是 OpenVZ HN 本身)。这样,所有审计事件都不会受到 VE 的攻击。
我将此答案标记为 wiki,以防有人想提供进一步的详细信息。