|
|
|
Secciones
Obrar mucho, y hablar poco; que lo demás es de loco.
Barrapunto © 1999-2007. Contenido disponible bajo licencia Creative Commons Reconocimiento 2.5
Aviso legal
Barrapunto © 1999-2007. Contenido disponible bajo licencia Creative Commons Reconocimiento 2.5
Aviso legal
Re:Algo hice mal
(Puntos:1)( http://barrapunto.com/ | Última bitácora: Viernes, 21 Agosto de 2009, 11:37h )
El script de marras, se ve que he copiado una versión que tenía para pruebas...
#!/usr/bin/perl -X
use strict;
use Socket;
my $ruta = "/var/run/audispd_events";
my $script = "/usr/bin/unison";
my $key = "clave";
my $data = "";
socket (mySocket, PF_UNIX, SOCK_STREAM, 0) || die "socket: $!\n";
connect(mySocket, sockaddr_un($ruta)) || die "connect: $!";
while (defined($data = <mySocket>)) {
if ($data =~
system($script);
}
}
close(mySocket) || die "close: $!";
exit;
Re:Algo hice mal
(Puntos:2)( http://barrapunto.com/~Grohl/bitacora | Última bitácora: Lunes, 09 Marzo de 2015, 09:07h )
Bueno, en realidad , de momento solo estaba monitorizando que el script leia bien del socket y simplementente hago un "print $data"
Pero por mucho que modifique el directorio en cuestion, o auditd no detecta cambios , o el script no lee correctamente.
"En teoría no hay diferencia entre teoría y práctica. En la práctica, sí la hay."
Re:Algo hice mal
(Puntos:2)( http://barrapunto.com/~Grohl/bitacora | Última bitácora: Lunes, 09 Marzo de 2015, 09:07h )
Leyendo la documentacion de auditd , he visto esto
"A boot param of audit=1 should be added to ensure that all processes that run before the audit daemon starts is marked as auditable by the kernel."
¿ tu tienes este parametro en el arranque del kernel ?
"En teoría no hay diferencia entre teoría y práctica. En la práctica, sí la hay."