Comments | ru_unix: iptables change auditing

alexkuklin in ru_unix

iptables change auditing

Apr 06, 2011 02:02

Я правильно понимаю, что по syscall изменения правил ipt не ловятся и надо делать либу-перехватчик для подпихивания через LD_PRELOAD?

Comments 4

kiryl April 6 2011, 01:37:38 UTC

Что значит не ловится? Смотри операции на RAW-сокете(getsockopt()/setsockopt()/etc.).

alexkuklin April 6 2011, 01:39:58 UTC

Я смотрел что дает strace на этой операции - как-то оно не внушает оптимизма.
Непонятно, как интерпретировать полученные результаты, раз, и непонятно пока, как избежать срабатываний аудита на другие операции с raw socket.

kiryl April 6 2011, 02:10:17 UTC

Наверно, правильным вариантом было бы научить strace разбирать эти операции на RAW-сокете.

З.Ы. в iptables я понимаю чуть меньше чем ничего.

sa_chernomor April 8 2011, 03:58:12 UTC

у iptables бинарный протокол общения с ядром, насколько я помню. т.е. если нужно понимать, что именно они друг другу говорят - нужно уметь его парсить.
use the source, luke! ;)