Comments 11
А аудитору точно можно доверять?
Отличная публикация для молодых админов и сотрудников ИБ.
Главное не переборщить с политиками, иначе демон auditd будет сильно утилизировать CPU и iops
Вместо python скрипта для парсинга, на мой взгляд, проще использовать скрипт на bash
Спасибо за комментарий! Определенно, согласен с вами, это проще. Я вижу Питон более гибким, больше потенциальных доработок можно осуществить, поэтому выбор и пал на него.
вижу Питон более гибким, больше потенциальных доработок можно осуществить
Под «проще» я подразумевал, что возможностей bash, который есть везде, больше, чем нужно для подобной задачи, даже с учётом каких-то доработок.
Python же несомненно обладает большими возможностями, но применим для задач другого уровня и типа.
Каждый выбирает то, что ему кажется правильным. Это просто моё мнение
Спасибо за комментарий!
Каждый выбирает то, что ему кажется правильным
Вы определенно правы, солидарен полностью!
Я сейчас свой личный сервер ковыряю, в начале пути. Выбираю какой нибудь инструмент который бы изучил и создавал на нём скрипты автоматизации, например по определённым событиям в логах, делал перезапуск демона и тд. Не могли бы вы объяснить по подробнее на счёт питона и его применения и bash? Буду очень признателен!
Кажется, изобрели SIEM )
Можно же настроить отправку событий auditd в syslog, а в syslog настроить отправку логов на удалённый сервер. Либо другой вариант - прямо в плагине audisp настроить отправку, но это будет не совсем стандартный формат (отличается от того, что шлёт syslog).
Скрипт, который следит за тобой: автоматический аудит действий в Linux