16.13.进程审计

进程审计是一种安全方法,管理员可以跟踪系统资源的使用和分配情况,提供系统监视,并最少跟踪用户的命令。

进程审计既有积极的一面也有消极的一面。积极一面是入侵可能被缩小到入口点。消极的一面是进程审计产生的日志数量,以及它们可能需要的磁盘空间。本节将引导管理员了解进程审计的基础知识。

16.13.1. 启用和利用进程审计

在使用进程审计之前,必须使用以下命令启用它:

# sysrc accounting_enable=yes
# service accounting start

审计信息存储在位于/var/account 的文件中,如果需要,在会计服务第一次启动时将自动创建该文件。这些文件包含敏感信息,包括所有用户发出的所有命令。写访问权限仅限于 root,读访问权限仅限于 root 和 wheel 组的成员。为了防止 wheel 成员也读取文件,更改/var/account 目录的模式以仅允许 root 访问。

若启用,会计将开始跟踪诸如 CPU 统计信息和执行的命令等信息。所有会计日志都以非可读格式保存,可以使用 sa(8)查看。如果不带任何选项发出,sa(8)将打印与每个用户调用次数,总经过时间(以分钟为单位),总 CPU 和用户时间(以分钟为单位)以及平均 I/O 操作数有关的信息。有关可控制输出的可用选项列表,请参阅 sa(8)。

显示用户发出的命令,请使用 lastcomm。

例如,此命令会打印出 trhodes 在 ttyp1 终端上的所有使用情况:

# lastcomm ls trhodes ttyp1

许多其他有用的选项存在并在 lastcomm(1), acct(5), 和 sa(8) 中有解释。

最后更新于

FreeBSD 中文社区 2024