在Linux( http://www.slashzero.com/2009/11/shell-session-logging/ )中看起来像pam_tty_audit可能是一个很好的方法来帮助找出“发生了什么!” 当一个人扎根。
我说“本来可以”,因为rootkit在做任何事情之前都会清理日志并杀死远程日志logging。
说我知道我的一些OpenVZ容器得到根植,我相信我的OpenVZ硬件根没有。 我可以在OpenVZ硬件节点上的所有容器的TTY上进行审计吗?
您可以configurationOpenVZ VE上的系统日志,将所有日志发送到远程服务器(例如,可能是OpenVZ HN),而不是使用auditd捕获审计日志。 因此,所有的审计事件都将从VE妥协中安全。
如果有人想提供更多的细节,我将这个答案标记为wiki。