Jun  8 18:30:20 grinder hostSentry[23460]: securityalert: Action being taken for user: sergej

Jun  8 18:30:20 grinder hostSentry[23460]: securityalert: Module requesting action is: moduleFirstLogin

Jun  8 18:30:20 grinder hostSentry[23460]: securityalert: Action complete for module: moduleFirstLogin

Jun  8 18:30:21 grinder hostSentry[23460]: securityalert: Foreign domain login detected for user: sergej from:

Jun  8 18:30:21 grinder hostSentry[23460]: securityalert: Action being taken for user: sergej

Jun  8 18:30:21 grinder hostSentry[23460]: securityalert: Module requesting action is: moduleForeignDomain

Jun  8 18:30:21 grinder hostSentry[23460]: securityalert: Action complete for module: moduleForeignDomain

При этом сообщение securityalert не пройдет еще и мимо Logcentry. Теперь требуется некоторое время, чтобы детектор аномалий изучил то, как пользователи обычно действуют при входе в систему, постепенно количество сообщений будет уменьшаться, но зато когда бухгалтер Вася Пупкин, работавший обычно из соседнего офиса, и не знающий вообще, что такое UNIX, попытается вдруг зарегистрироваться из Китая, то администратор будет предупрежден.

Список модулей, применяемых в HostSentry:

n  moduleOddDirnames – скорее, вспомогательный модуль, проверяет домашний каталог пользователя. Обычно хакеры пытаются скрыть свое пребывание в системе и каталоги называют «.. » , «...». Вот это и пытается выяснить данный модуль;

n  moduleRhostCheck – этот модуль проверяет пользовательский .rhosts-файл при выходе из системы, и если в нем содержатся постановочные знаки (“+”), это будет зарегистрировано, и администратору можно будет заняться исследованием (использование r-сервисов – плохая идея);