00 * * * * root /bin/sh /usr/local/etc/logcheck.sh

И теперь каждый час запускается logcheck.sh, которая запускает в свою очередь logtail:

n  logtail анализирует log-файлы с последней запомненной позиции;

n  logcheck при помощи grep проверяет оставшийся текст на наличие сообщений о возможной атаке;

n  при помощи grep проверяются все возможные негативные сообщения;

n  на следующем шаге отбираются из них те, которые нужно проигнорировать (logcheck.violations.ignore);

n  все сообщения, которые нужно проигнорировать, заносятся в logcheck.ignore;

n  после всего этого сисадмин получает e-mail с оставшимися сообщениями.

Еще одна проблема может возникнуть с использованием утилиты logsentry. Связана она с локализацией. Дело в том, что в большинстве дистрибутивов local устанавливается автоматически по используемому основному языку системы. Естественно, после того как переменная LANG будет равняться KOI8-R, все сообщения будут выводиться на русском языке (и запись в лог-файлы также), дополнительно в последнее время обострилась ситуация с продвижением единой кодировки Unicode, т.е. в RedHat 8.0 и 9 LANG=«ru_RU.UTF-8». Logcenry в этом случае ничегошеньки (или почти) не найдет. И все потому, что все шаблоны записаны на английском. Поэтому лучше всего использовать Pan-European version, т.е. когда сообщения выводятся на английском (в AltLinux сейчас примерно так все и работает). Для этого в файле /etc/sysconfig/i18n меняем соответствующие строки на:

LANG="en_US"

SYSFONT="Cyr_a8x16"

SYSFONTACM="koi2alt"

Остальные можно оставить как есть. После этого проблем уже быть не должно.

HostSentry

И последняя, самая молодая, утилита HostSentry. Представляет собой инструмент обнаружения вторжения, основанный на технологии Login Anomaly Detection (LAD), который определяет подозрительные действия при входе в систему и позволяет быстро выявлять скомпрометированные пользовательские аккаунты и необычное поведение. HostSentry включает динамическую базу данных и фактически изучает поведение входа в систему пользователя. Это поведение используется модульными сигнатурами, чтобы обнаружить необычные действия. Прошу обратить внимание на словосочетание «при входе в систему», если компьютер уже скомпрометирован, и взломщик уже имеет легальный вход в систему, здесь уже помочь будет трудно, а вот когда делаются первые шаги, применение HostSentry будет как раз к месту. При этом необходимо помнить, что обнаружив ее, злоумышленник также может подменить утилиту.

При этом HostSentry определяет: