当前位置: 首页 > 图文教程 > 操作系统 > Unix/Linux > 审计并跟踪Linux系统的异常活动详解

Unix/Linux
Linux 防火墙配置基础篇
初手学堂;跟我学习安装配置RedHat9.0
基于FreeBSD操作系统的安全电子邮件系统架设
Linux下增加Apache的rewrite Module
Linux/Unix下ODBC的安装、配置与编程
安装大型Linux 集群: 简介和硬件配置
安装大型Linux 集群: 配置服务和安装
经典推荐:远程网络安装RedHat-Linux
Linux操作系统下软件的安装方法大全
安装Linux应用软件的五种基本方法
Linux下Resin+JSP+MySQL的安装和配置
清爽漂亮 Ubuntu 7.04 新手指南
Linux操作系统下轻型虚拟机VirtualBox
通过PXE远程安装Linux系统全程解析
打造完美linux系统:常用软件安装
IBM P服务器的Linux基本安装和配置
用VNC访问远端Linux桌面 详细步骤解析
Debian4(Etch)系统简要安装详细介绍
RedHat SELinux系统简介及案例分析
Linux系统源码安装过程中的prefix选项

Unix/Linux 中的 审计并跟踪Linux系统的异常活动详解


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-01   浏览: 49 ::
收藏到网摘: n/a

  一些异常用户试图移去系统上的所有活动记录(比如~/.bash_history),不过我们可以使用专门的工具来监视所有用户执行的命令。推荐你使用进程记帐来记录用户的活动,你可以通过进程记帐查看每一个用户执行的命令,包括CPU时间和内存占用。

  Psacct程序提供了几个进程活动监视工具: ac, lastcomm, accton和sa。

  ◆ac命令显示用户连接时间的统计。

  ◆lastcomm命令显示系统执行的命令。

  ◆accton命令用于打开或关闭进程记帐功能。

  ◆sa命令统计系统进程记帐的情况。

  1). 安装psacct或acct软件包

  如果你使用RHEL, 使用up2date命令:

  # up2date psacct

  如果你使用CentOS/Fedora Core Linux, 使用yum命令:

  $ sudo apt-get install acct

  或

  # apt-get install acct

  2). 启动psacct/acct服务

  在Ubuntu/Debian Linux系统上, pacct可以自动启动。(安装包会在系统上创建一个/var/account/pacct文件)。但是在Red Hat/Fedora Core/Cent OS, 你需要手动启动psacct服务。敲入下面两个命令创建/var/account/pacct文件和启动pacct服务:

  # chkconfig psacct on

  # /etc/init.d/psacct start

  如果你使用Suse Linux, 服务的名称为acct, 敲入下面的命令:

  # chkconfig acct on

  # /etc/init.d/acct start

  现在我们可以了解如何利用这些工具来监视用户的命令和时间。

  3). 显示用户连线时间的统计信息

  命令可以根据登陆数/退出数在屏幕上打印出用户的连线时间(单位为小时)。总计时间也可以打印出来。如果你执行没有任何参数的ac命令, 屏幕将会显示总计的连线时间:

  $ ac

[1] [2] [3] 下一页