Обсуждение статьи тематического каталога: Использование OpenBSM для аудита FreeBSD. (freebsd monitoring bsm)Ссылка на текст статьи: http://www.opennet.me/base/sys/openbsm_mon.txt.html
могли бы уж сразу дать линк на хэндбук, а не копировать с него
Где Вы увидели копирование хендбука, умник?
я рекомендую Handbook.
в статье нет ничего, кроме надерганных своими словами куском FBH.большая масса деталей просто пропущена.
Да ну. Скажите, уважаемый, в handbook есть упоминание о bsmgui, например? Или, может быть, в handbook есть инфа о некорректном парсинге audit_user в 6.2RELEASE? Или о том, каким образом воспринимает система аудита изменения политик? Статья никоим образом не отменяет чтение хендбука и манов, даже я бы сказал, что требует их, но основана она отнюдь не на статье из хендбука "своими словами", а на попытки реального применения OpenBSM в FreeBSD. В результате чего родилось как множество замечаний, не отражённых в handbook, так и http://www.freebsd.org/cgi/query-pr.cgi?pr=114534 и несколько патчей к xdm, которые отправятся в виде PR в ближайшее время.
Ещё, если Вы не против, укажите пожалуйста статьи, которые вы написали.P.S. Разбирался я с OpenBSM по большей части используя бумажную версию сановской книги по SunOS и ейной security.
Вы упоминули о вашем сайте а вот ссылку на него не дали, если несложно напишите ссылку.
Заранее премного благодарен!
бага оказалось внутри auditreduce. Я отписал автору и сейчас делаю pr, я напишу в комментах когда будет готово
>бага оказалось внутри auditreduce. Я отписал автору и сейчас делаю pr, я
>напишу в комментах когда будет готово
Вот способ пофиксить проблему:
1) Берём патч:
--- auditreduce.c Sat Sep 30 01:41:53 2006
+++ auditreduce.c.patched Thu Jul 12 19:23:06 2007
@@ -629,6 +629,7 @@
usage("d is exclusive with a and b");
}
SETOPT(opttochk, OPT_a);
+ bzero(&tm, sizeof(tm));
strptime(optarg, "%Y%m%d%H%M%S", &tm);
strftime(timestr, sizeof(timestr), "%Y%m%d%H%M%S",
&tm);
@@ -641,6 +642,7 @@
usage("d is exclusive with a and b");
}
SETOPT(opttochk, OPT_b);
+ bzero(&tm, sizeof(tm));
strptime(optarg, "%Y%m%d%H%M%S", &tm);
strftime(timestr, sizeof(timestr), "%Y%m%d%H%M%S",
&tm);
@@ -661,6 +663,7 @@
OPT_a))
usage("'d' is exclusive with 'a' and 'b'");
SETOPT(opttochk, OPT_d);
+ bzero(&tm, sizeof(tm));
strptime(optarg, "%Y%m%d", &tm);
strftime(timestr, sizeof(timestr), "%Y%m%d", &tm);
/* fprintf(stderr, "Time converted = %s\n", timestr); */2) В дире /usr/src/contrib/openbsm/bin/auditreduce делаем patch < diff.patch
3) gcc -o auditreduce auditreduce.c -I ../../ -lbsm
Заменяем им системный auditreduce и используем bsmgui без каких либо патчей )
Ещё оно в jail не работает...:-(
>Ещё оно в jail не работает...:-(Да ну? Вроде должно.
Должно, но не отлавливает он события в jail.
Я только что проверил - отлавливает
может пофиксили.
Полезная статья. Спасибо.
Спасибо за отзыв. Кстати, PR закрыли, а в мыле объявился 1 из разработчиков, которому можно "сливать" странности с OpenBSM.