当前位置: 首页 > 图文教程 > 操作系统 > Unix/Linux > 审计并跟踪Linux系统的异常活动详解

Unix/Linux
在Linux操作系统上运行Windows应用程序
RedHat AS 3.0下高可用性集群配置
一个NAT+SQUID+DNAT+FORWARD+反弹式FIREWALL的例子
安装显卡好简单
硬盘安装 RedHat9 心得
linux忘记了密码怎么办(lilo/grub)
vmware 配置实例-linux host + windows guest + fire
Linux下Makefile的automake生成全攻略
Linux中流媒体Helix Server的安装和配置
利用shell编程实现DOS风格的Linux命令行
设置一个高容量的Linux POP3服务器
如何在Linux环境模拟DOS命令
Linux系统文件命令精通指南(下)
如何提高Linux操作系统速度
Linux系统文件命令精通指南(上)
GCC精彩之旅
分布式拒绝服务攻击(tfn2k)攻击及iptables过滤测试
Iptables来限制上QQ
Linux下IpTables的配置
无法进入图形界面的解决过程

Unix/Linux 中的 审计并跟踪Linux系统的异常活动详解


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-01   浏览: 108 ::
收藏到网摘: n/a

  一些异常用户试图移去系统上的所有活动记录(比如~/.bash_history),不过我们可以使用专门的工具来监视所有用户执行的命令。推荐你使用进程记帐来记录用户的活动,你可以通过进程记帐查看每一个用户执行的命令,包括CPU时间和内存占用。

  Psacct程序提供了几个进程活动监视工具: ac, lastcomm, accton和sa。

  ◆ac命令显示用户连接时间的统计。

  ◆lastcomm命令显示系统执行的命令。

  ◆accton命令用于打开或关闭进程记帐功能。

  ◆sa命令统计系统进程记帐的情况。

  1). 安装psacct或acct软件包

  如果你使用RHEL, 使用up2date命令:

  # up2date psacct

  如果你使用CentOS/Fedora Core Linux, 使用yum命令:

  $ sudo apt-get install acct

  或

  # apt-get install acct

  2). 启动psacct/acct服务

  在Ubuntu/Debian Linux系统上, pacct可以自动启动。(安装包会在系统上创建一个/var/account/pacct文件)。但是在Red Hat/Fedora Core/Cent OS, 你需要手动启动psacct服务。敲入下面两个命令创建/var/account/pacct文件和启动pacct服务:

  # chkconfig psacct on

  # /etc/init.d/psacct start

  如果你使用Suse Linux, 服务的名称为acct, 敲入下面的命令:

  # chkconfig acct on

  # /etc/init.d/acct start

  现在我们可以了解如何利用这些工具来监视用户的命令和时间。

  3). 显示用户连线时间的统计信息

  命令可以根据登陆数/退出数在屏幕上打印出用户的连线时间(单位为小时)。总计时间也可以打印出来。如果你执行没有任何参数的ac命令, 屏幕将会显示总计的连线时间:

  $ ac

[1] [2] [3] 下一页