отправка логов на удаленный сервер

0

1

Здравствуйте всем. Интересует вопрос дублирования логов. Известно что хакер (или бывший сотрудник) после посещения атакуемого сервиса очень тщательно подтирает свои следы в всех логах. Возможно ли некоторые логи писать в стороннии дублем директории? Гугля промолчала :)

Перемещено alpha из general

Ссылка

←	Поддомены в nginx

Отправка сообщений в ELK

→

← 1 2 →

Ответ на: комментарий от annulen 27.08.21 23:51:16 MSK

Да. Но стандартные средства известны и к борьбе с ними можно подготовиться за ранее. Например представьте, что бывший сотрудник к этому готовился до увольнения.

anc ★★★★★
(27.08.21 23:53:27 MSK)
Последнее исправление: anc 27.08.21 23:56:23 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от MumiyTroll 27.08.21 17:59:14 MSK

25 лет уже шишки собираю.

Это грустно, что Вы за 25 лет не поняли даже основ...

Я ведь не Вассерман. Чтобы весь Линукс назубок иметь. :)

~~Bootmen~~ ☆☆☆
(28.08.21 07:18:57 MSK) автор топика

Ссылка

Ответ на: комментарий от anc 27.08.21 23:45:50 MSK

Отрезаем кусман от дис

Прекрасное решение. Как я игрил: спрятать логи в недрах системы. Раид1 у меня.

~~Bootmen~~ ☆☆☆
(28.08.21 08:07:48 MSK) автор топика

Адмиин. Непонятны Ваши действия. Вторая звезда стала прозрачной. Хочу и последнюю такую (как лейб ТВ Звезда). У присутствующих таких звезд нет. :))

~~Bootmen~~ ☆☆☆
(28.08.21 08:14:18 MSK) автор топика

Ссылка

Ответ на: комментарий от Bootmen 28.08.21 08:07:48 MSK

Как я игрил: спрятать логи в недрах системы.

Просто поменяйте название каталога для логов с /var/log на /var/pogalyjsta_ne_trogaj_logi! Т.к. для злоумышленника это тёмный лес, логов он не найдет и всё будет хорошо.

vasily_pupkin ★★★★★
(28.08.21 08:48:51 MSK)

Ответ на: комментарий от vasily_pupkin 28.08.21 08:48:51 MSK

поменяйте название каталога д

Неплохой вариант. Однако нужно оставить в каталоге логов какиетол файлы. Иначе скрипт жулика даст ответ: такого каталокГа не существует!

~~Bootmen~~ ☆☆☆
(28.08.21 09:12:29 MSK) автор топика

Ссылка

У автора что ни тред, то праздник. И в каждом треде на советы он отвечает агрессией + как накатит (видимо) по вечерам, начинает крыть матом.

Комментарий наверное удалят опять.

~~tfeartx~~
(28.08.21 13:28:17 MSK)

Ответ на: комментарий от tfeartx 28.08.21 13:28:17 MSK

о праздник

Походу у тебя сплошное невезение.

~~Bootmen~~ ☆☆☆
(28.08.21 16:02:45 MSK) автор топика

Ссылка

Ответ на: комментарий от Bootmen 27.08.21 16:12:16 MSK

Это и есть самый адекватный ответ. Несколько корректных вариантов тебе уже предложили, а ты всё шлангуешь.

~~WitcherGeralt~~ ★★
(28.08.21 16:12:20 MSK)
Последнее исправление: WitcherGeralt 28.08.21 16:14:07 MSK (всего исправлений: 1)

Ответ на: комментарий от WitcherGeralt 28.08.21 16:12:20 MSK

<всё шлангуешь.

Шлангом марш>?

~~Bootmen~~ ☆☆☆
(28.08.21 16:16:12 MSK) автор топика
Последнее исправление: Bootmen 28.08.21 16:16:37 MSK (всего исправлений: 1)

Ссылка

rsyslogd, ksyslogd и почти все syslog-варианты умеют.

На сервере выставляешь с каких хостов куда писать (лог-файл), на клиентах — на какой сервер слать. Делается легко.

mord0d ★★★★★
(28.08.21 16:58:01 MSK)

Ссылка

Да хоть на принтер.

t184256 ★★★★★
(28.08.21 21:16:40 MSK)

Ответ на: комментарий от t184256 28.08.21 21:16:40 MSK

У ТС не известен обьем логов, принтер может оказаться очень дорогостоящим решением.

anc ★★★★★
(29.08.21 11:20:02 MSK)

Ответ на: комментарий от anc 29.08.21 11:20:02 MSK

принтер может оказаться оч

Не смешно. И не по теме.

~~Bootmen~~ ☆☆☆
(29.08.21 11:23:04 MSK) автор топика

Ответ на: комментарий от vasily_pupkin 28.08.21 08:48:51 MSK

У этого решения есть большой минус. Пути до логов с немалой долей вероятности начнут искать в конфигах.

anc ★★★★★
(29.08.21 11:43:29 MSK)

Ответ на: комментарий от Bootmen 29.08.21 11:23:04 MSK

То есть, вот это: отправка логов на удаленный сервер (комментарий) было по теме и/или смешно?

anc ★★★★★
(29.08.21 11:45:20 MSK)

Ссылка

Ответ на: комментарий от anc 29.08.21 11:43:29 MSK

большой минус.

Эт точно.

Однако «гость» работает по стандартам

~~Bootmen~~ ☆☆☆
(29.08.21 11:54:32 MSK) автор топика

Ответ на: комментарий от Bootmen 29.08.21 11:54:32 MSK

Однако «гость» работает по стандартам

В этом и дело. Я «каккер», прихожу к вам в гости, одна из моих задач описана в топике. Как вы думаете, для выполнения описанного в топике я буду выяснять distrname, коих чуть больше чем много, или посмотрю конфиги?
«Наше дело не рожать, сунул вынул и бежать». Время прибывания в системе нужно свести к минимуму, а значит по максимуму автоматизировать процесс.

anc ★★★★★
(29.08.21 12:15:09 MSK)