Пользователь Linux для целей аудита

Нет, шлюз — это маршрутизатор. Вы захотите указать серверы имен. Например:

nameserver 209.244.0.3
nameserver 209.244.0.4

Или любые серверы имен, которые вы хотите использовать. Ваш хостинг-провайдер, вероятно, имеет серверы имен очень, очень близко к вашему серверу. Это может быть лучшим вариантом, и вы должны спросить у них IP-адреса их серверов имен для вашего использования. Или используйте поисковую систему, чтобы найти общедоступные серверы имен. Мои хосты очень близки к уровню 3, поэтому я использую серверы имен уровня 3, как указано выше.

Другим хорошим вариантом является вариант searchили domain. Из руководства(man resolv.conf):

domain Local domain name. Most queries for names within this domain can use short names relative to the local domain. If set to '.', the root domain is considered. If no domain entry is present, the domain is determined from the local hostname returned by gethostname(2); the domain part is taken to be everything after the first '.'. Finally, if the hostname does not contain a domain part, the root domain is assumed.

search Search list for host-name lookup. The search list is normally determined from the local domain name; by default, it contains only the local domain name. This may be changed by listing the desired domain search path following the search keyword with spaces or tabs separating the names. Resolver queries having fewer than ndots dots (default is 1) in them will be attempted using each component of the search path in turn until a match is found. For environments with multiple subdomains please read options ndots:n below to avoid man-in- the-middle attacks and unnecessary traffic for the root-dns-servers. Note that this process may be slow and will generate a lot of network traffic if the servers for the listed domains are not local, and that queries will time out if no server is available for one of the domains.

The search list is currently limited to six domains with a total of 256 characters.

domain your-domain-name.com
nameserver 209.244.0.3
nameserver 209.244.0.4
1
25.02.2020, 05:58
2 ответа

Не рекомендуется давать пользователю разрешение на доступ ко всей файловой системе. Однако мы можем дать пользователю разрешение, ограниченное несколькими каталогами, используя ACL.

Нравится,

setfacl -R -m u:readOnlyUser:r /var/log
  • -Rдать разрешение рекурсивно
  • -mдля изменения ACL
  • uМодификация для пользователя (readOnlyUser)
  • rразрешить только чтение

Точно так же мы можем дать несколько каталогов.

2
28.04.2021, 23:22

Что именно вы хотите проверить? Большая часть требуемой информации может быть доступна в системных журналах или журналах приложений. Если нет, посмотрите, можно ли это настроить (или изменить приложения для регистрации соответствующих действий ). Системы Unixy уже довольно давно являются стандартной платой за проезд в качестве серверов, было бы очень необычно, если бы ваши требования не вызывали у кого-то зуд раньше. Найдите / спросите о ваших конкретных требованиях. Вероятно, стоит сегментировать такие данные, чтобы иметь возможность ограничить доступ по мере необходимости -до -знания.

0
28.04.2021, 23:22

Теги

Похожие вопросы