On 12/21/2011 01:50 PM, Laborczi Pál wrote: > 2011-12-21 11:18 keltezéssel, Magosányi Árpád írta: >> On 12/20/2011 05:03 PM, Laborczi Pál wrote: >>> Nem inkább helyben kéne ilyet lekérdezni, ahonnan a levelet küldik? >> Mondom hogy auditd. >> > Végig néztem az auditd.conf-ot, de nem tudtam rájönni, mire gondolsz. > > A tcp_listen_port. ill. a tcp_client_ports paramétereket nem látom > alkalmasnak a föladatra. Azzal kezdeném, hogy az exec,fork és connect syscallok auditálását állítom be. /etc/audit/audit.rules -a exit,always -S fork -a exit,always -S exec -a exit,always -S connect Nézd végig a syscall listát, mert lehet hogy fejből kifelejtettem valamit (clone, execve, ilyesmi) A /etc/audisp/plugins.d/syslog.conf-ban is lehet hogy active=true beállítást akarsz.
_________________________________________________ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
