16.13.进程记账
最后更新于
最后更新于
进程记账是一种安全方法,管理员可以用来跟踪系统资源的使用情况及其在用户之间的分配,提供系统监控,并最小化地跟踪用户的命令。
进程记账有其优点和缺点。一个优点是,可以将入侵范围缩小到入侵的入口点。一个缺点是进程记账生成的日志数量及其可能占用的磁盘空间。本节将引导管理员了解进程记账的基础。
注意
如果需要更细粒度的记账,请参考。
在使用进程记账之前,必须使用以下命令启用它:
记账信息存储在 /var/account 中的文件中,如果必要,第一次启动记账服务时会自动创建这些文件。这些文件包含敏感信息,包括所有用户发出的命令。对这些文件的写入权限仅限于 root,读取权限仅限于 root 和 wheel 组的成员。为了防止 wheel 组的成员读取这些文件,可以将 /var/account 目录的模式更改为仅允许 root 访问。
启用后,记账将开始跟踪信息,如 CPU 统计信息和执行的命令。所有记账日志都是不可读的格式,可以使用 查看。如果不带任何选项运行 ,则会打印与每个用户的调用数量、总的经过时间(分钟)、总的 CPU 时间和用户时间(分钟)以及平均 I/O 操作次数相关的信息。有关可用选项的列表,请参阅 。
要显示用户发出的命令,可以使用 lastcomm。
例如,以下命令会打印出 trhodes 在 ttyp1 终端上使用 ls 的所有记录:
还有许多其他有用的选项,可以在 、 和 中找到解释。