当前位置: 首页 > 图文教程 > 操作系统 > Unix/Linux > 审计并跟踪Linux系统的异常活动详解

Unix/Linux
Linux系统上把PHP编译进Apache静态内核
Linux操作系统下的多线程编程详细解析
高手进阶 Linux系统中内核定时器的应用
Linux内核初始化及启动之用户模式开始
Linux系统核心源程序文件组织结构介绍
Linux的内核软中断(softirq)执行分析
嵌入式 用户图形接口uC/GUI的简单分析
教你用APF和BFD来加强Linux的防火墙
铲除病毒攻击两大威胁 走近Linux防护
使用SSL 保护VNC应用程序
Linux与Unix二大操作系统编程的安全
为Linux服务器部署高效防毒软件
通过LoadRunner监控Linux的资源状况
Linux操作系统安全管理十大招数介绍
黑客高级技巧 Linux后门技术及实践
提高Linux操作系统安全性的十大招数
开发 Linux系统下的磁盘加密方法详解
用 coLinux 进行虚拟化
做好防范 Linux系统下的攻击软件全接触
Linux操作系统的口令安全问题详细解析

Unix/Linux 中的 审计并跟踪Linux系统的异常活动详解


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-01   浏览: 42 ::
收藏到网摘: n/a

  一些异常用户试图移去系统上的所有活动记录(比如~/.bash_history),不过我们可以使用专门的工具来监视所有用户执行的命令。推荐你使用进程记帐来记录用户的活动,你可以通过进程记帐查看每一个用户执行的命令,包括CPU时间和内存占用。

  Psacct程序提供了几个进程活动监视工具: ac, lastcomm, accton和sa。

  ◆ac命令显示用户连接时间的统计。

  ◆lastcomm命令显示系统执行的命令。

  ◆accton命令用于打开或关闭进程记帐功能。

  ◆sa命令统计系统进程记帐的情况。

  1). 安装psacct或acct软件包

  如果你使用RHEL, 使用up2date命令:

  # up2date psacct

  如果你使用CentOS/Fedora Core Linux, 使用yum命令:

  $ sudo apt-get install acct

  或

  # apt-get install acct

  2). 启动psacct/acct服务

  在Ubuntu/Debian Linux系统上, pacct可以自动启动。(安装包会在系统上创建一个/var/account/pacct文件)。但是在Red Hat/Fedora Core/Cent OS, 你需要手动启动psacct服务。敲入下面两个命令创建/var/account/pacct文件和启动pacct服务:

  # chkconfig psacct on

  # /etc/init.d/psacct start

  如果你使用Suse Linux, 服务的名称为acct, 敲入下面的命令:

  # chkconfig acct on

  # /etc/init.d/acct start

  现在我们可以了解如何利用这些工具来监视用户的命令和时间。

  3). 显示用户连线时间的统计信息

  命令可以根据登陆数/退出数在屏幕上打印出用户的连线时间(单位为小时)。总计时间也可以打印出来。如果你执行没有任何参数的ac命令, 屏幕将会显示总计的连线时间:

  $ ac

[1] [2] [3] 下一页