13.12. 进程记帐

Contributed by Tom Rhodes.

进程记帐是一种管理员可以使用的跟踪系统资源使用情况的手段, 包括它们分配给了哪些用户、 提供系统监视手段, 并且可以精细到用户执行的每一个命令。

当然, 这种做法是兼有利弊的。 它的好处是, 查找入侵时可以迅速把范围缩小到攻击者进入的时刻; 而这样做的缺点, 则是记帐会产生大量的日志, 因而需要很多磁盘空间来存储它们。 这一节将带领管理员一步一步地配置基本的进程记帐。

注意:

如果需要更细粒度的审计,请参阅 第 16 章 安全事件审计

13.12.1. 启用和使用进程记帐

在使用进程记帐之前, 必须先启用它。 要完成这项工作, 需要运行下面的命令:

# sysrc accounting_enable=yes
# service accounting start

审计信息存储在位于/var/account的文件中,如果有必要,在审计服务第一次启动时,这些文件会自动创建。这些文件包含敏感信息,包括所有用户发出的所有命令。对这些文件的写入访问仅限于 root,而读取访问仅限于 root 和 wheel 组的成员。为了防止wheel中的其他成员读取文件,请更改/var/account目录权限,只允许由root访问。

一旦启用之后, 记帐就会开始跟踪 CPU 统计数据、 命令, 等等。 所有的记帐日志不是以可读的方式记录的, 要查看它们, 需要使用 sa(8) 这个工具。 如果没有给出其他参数, 则 sa 将按用户, 以分钟为单位显示他们所使用的时间、 总共的 CPU 和用户时间, 以及平均的 I/O 操作数目, 等等。

要显示关于刚刚发出的命令的相关信息, 则应使用 lastcomm(1) 工具。 lastcomm 命令可以用来显示在某一 ttys(5) 上的用户信息, 例如:

# lastcomm ls trhodes ttyp1

更多选项请在lastcomm(1), acct(5), 和 sa(8) 中介绍。

本文档和其它文档可从这里下载: ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/.

如果对于FreeBSD有问题,请先阅读 文档,如不能解决再联系 <questions@FreeBSD.org>.

关于本文档的问题请发信联系 <doc@FreeBSD.org>.