是否有一种在Linux OpenVZ容器上使用OpenVZ的方法？

Question

看起来，Linux中的pam_tty_audit (http://www.slashzero.com/2009/11/shell-session-logging/)可能是帮助解决“发生了什么事”的一个很好的方法！当你扎根的时候。

我说“可能是”，因为rootkit在做任何其他事情之前都会清除日志和关闭远程日志记录。

假设我知道我的一些OpenVZ容器已经生根，我相信我的OpenVZ硬件根没有生根。我是否可以从OpenVZ硬件节点对容器的所有TTY进行审计？

Answer 1

与使用auditd捕获审计日志不同，您可以在OpenVZ VE上配置syslog将所有日志发送到远程服务器(例如，可以是OpenVZ HN本身)。因此，所有审计事件都不会受到VE妥协的影响。

我把这个答案标记为wiki，以防有人想提供更多的细节。