審計并跟蹤Linux系統(tǒng)的異?;顒釉斀鈅第1頁
審計并跟蹤Linux系統(tǒng)的異常活動詳解_第2頁
審計并跟蹤Linux系統(tǒng)的異?;顒釉斀鈅第3頁
審計并跟蹤Linux系統(tǒng)的異?;顒釉斀鈅第4頁
審計并跟蹤Linux系統(tǒng)的異?;顒釉斀鈅第5頁
已閱讀5頁,還剩1頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、.:.;一些異常用戶試圖移去系統(tǒng)上的一切活動記錄(比如/.bash_history),不過我們可以運用專門的工具來監(jiān)視一切用戶執(zhí)行的命令。引薦他運用進程記帳來記錄用戶的活動,他可以經(jīng)過進程記帳查看每一個用戶執(zhí)行的命令,包括CPU時間和內(nèi)存占用。Psacct程序提供了幾個進程活動監(jiān)視工具: ac, lastcomm, accton和sa。ac命令顯示用戶銜接時間的統(tǒng)計。lastcomm命令顯示系統(tǒng)執(zhí)行的命令。accton命令用于翻開或封鎖進程記帳功能。sa命令統(tǒng)計系統(tǒng)進程記帳的情況。1). 安裝psacct或acct軟件包假設(shè)他運用RHEL, 運用up2date命令:# up2date psac

2、ct假設(shè)他運用CentOS/Fedora Core Linux, 運用yum命令:$ sudo apt-get install acct或# apt-get install acct2). 啟動psacct/acct效力在Ubuntu/Debian Linux系統(tǒng)上, pacct可以自動啟動。(安裝包會在系統(tǒng)上創(chuàng)建一個/var/account/pacct文件)。但是在Red Hat/Fedora Core/Cent OS, 他需求手動啟動psacct效力。敲入下面兩個命令創(chuàng)建/var/account/pacct文件和啟動pacct效力:# chkconfig psacct on# /etc/i

3、nit.d/psacct start假設(shè)他運用Suse Linux, 效力的稱號為acct, 敲入下面的命令:# chkconfig acct on# /etc/init.d/acct start如今我們可以了解如何利用這些工具來監(jiān)視用戶的命令和時間。3). 顯示用戶連線時間的統(tǒng)計信息命令可以根據(jù)登陸數(shù)/退出數(shù)在屏幕上打印出用戶的連線時間(單位為小時)??傆嫊r間也可以打印出來。假設(shè)他執(zhí)行沒有任何參數(shù)的ac命令, 屏幕將會顯示總計的連線時間:$ ac輸出:total 95.08顯示每一天的連線統(tǒng)計時間:$ ac -d輸出:Nov 1 total 8.65Nov 2 total 5.70Nov 3

4、 total 13.43Nov 4 total 6.24Nov 5 total 10.70Nov 6 total 6.70Nov 7 total 10.30.Nov 12 total 3.42Nov 13 total 4.55Today total 0.52顯示每一個用戶的總計連線時間和一切用戶總計連線時間:$ ac -p輸出:vivek 87.49root 7.63total 95.114). 查找用戶過去執(zhí)行的命令他可以運用lastcomm命令打印出用戶過去執(zhí)行的命令。他也可以經(jīng)過用戶名, tty名或命令名來搜索以往執(zhí)行的命令。比如顯示vivek用戶過去執(zhí)行的命令:$ lastcomm v

5、ivek輸出:userhelper S X vivek pts/0 0.00 secs Mon Nov 13 23:58userhelper S vivek pts/0 0.00 secs Mon Nov 13 23:45rpmq vivek pts/0 0.01 secs Mon Nov 13 23:45rpmq vivek pts/0 0.00 secs Mon Nov 13 23:45rpmq vivek pts/0 0.01 secs Mon Nov 13 23:45gcc vivek pts/0 0.00 secs Mon Nov 13 23:45which vivek pts/0

6、0.00 secs Mon Nov 13 23:44bash F vivek pts/0 0.00 secs Mon Nov 13 23:44ls vivek pts/0 0.00 secs Mon Nov 13 23:43rm vivek pts/0 0.00 secs Mon Nov 13 23:43vi vivek pts/0 0.00 secs Mon Nov 13 23:43ping S vivek pts/0 0.00 secs Mon Nov 13 23:42ping S vivek pts/0 0.00 secs Mon Nov 13 23:42ping S vivek pts

7、/0 0.00 secs Mon Nov 13 23:42cat vivek pts/0 0.00 secs Mon Nov 13 23:42netstat vivek pts/0 0.07 secs Mon Nov 13 23:42su S vivek pts/0 0.00 secs Mon Nov 13 23:38每一行信息都在屏幕上打印出來, 我們以第一行輸出項為例:userhelper S X vivek pts/0 0.00 secs Mon Nov 13 23:58分析:userhelper 是進程的命令名。S和X是標(biāo)志信息, 由系統(tǒng)記帳程序管理。每一個標(biāo)志的含義是:S - 命令由

8、超級用戶執(zhí)行。F - 命令由fork產(chǎn)生, 但是沒有exec(執(zhí)行)。D - 命令終止并創(chuàng)建一個core文件。X - 命令被SIGTERM信號終止。vivek是執(zhí)行命令的用戶名。prts/0 終端名。0.00 secs - 進程退出時間。他可以經(jīng)過執(zhí)行下面的命令來搜索進程記帳日志:$ lastcomm rm$ lastcomm passwd輸出:rm S root pts/0 0.00 secs Tue Nov 14 00:39rm S root pts/0 0.00 secs Tue Nov 14 00:39rm S root pts/0 0.00 secs Tue Nov 14 00:38

9、rm S root pts/0 0.00 secs Tue Nov 14 00:38rm S root pts/0 0.00 secs Tue Nov 14 00:36rm S root pts/0 0.00 secs Tue Nov 14 00:36rm S root pts/0 0.00 secs Tue Nov 14 00:35rm S root pts/0 0.00 secs Tue Nov 14 00:35rm vivek pts/0 0.00 secs Tue Nov 14 00:30rm vivek pts/1 0.00 secs Tue Nov 14 00:30rm vivek

10、 pts/1 0.00 secs Tue Nov 14 00:29rm vivek pts/1 0.00 secs Tue Nov 14 00:29他可以經(jīng)過終端名pts/1作為關(guān)鍵字來搜索進程記帳日志:$ lastcomm pts/15). 統(tǒng)計記帳信息他可以運用sa命令打印過去執(zhí)行命令的統(tǒng)計信息。另外, sa命令保管了一個叫做savacct文件, 文件包含了命令被調(diào)用的次數(shù)和資源運用的次數(shù)。而且sa還提供每一個用戶的統(tǒng)計信息, 這些信息保管在一個叫做usracct的文件當(dāng)中。# sa輸出:579 222.81re 0.16cp 7220k 4 0.36re 0.12cp 31156k up

11、2date 8 0.02re 0.02cp 16976k rpmq 8 0.01re 0.01cp 2148k netstat 11 0.04re 0.00cp 8463k grep 18 100.71re 0.00cp 11111k *other* 8 0.00re 0.00cp 14500k troff 5 12.32re 0.00cp 10696k smtpd 2 8.46re 0.00cp 10k bash 8 9.52re 0.00cp 1018k less以結(jié)果輸出的第一行為例:4 0.36re 0.12cp 31156k up2date分析:0.36re 實踐時間 單位為分鐘。0

12、.12cp 系統(tǒng)和用戶時間總數(shù)(CPU時間, 單位為分鐘)。31156K 中心運用所占的平均CPU時間, 一個單元的大小為1KB。up2date 命令名。顯示每一個用戶:# sa -u輸出:root 0.00 cpu 595k mem acctonroot 0.00 cpu 12488k mem initlogroot 0.00 cpu 12488k mem initlogroot 0.00 cpu 12482k mem touchroot 0.00 cpu 13226k mem psacctroot 0.00 cpu 595k mem consoletyperoot 0.00 cpu 131

13、92k mem psacct *root 0.00 cpu 13226k mem psacctroot 0.00 cpu 12492k mem chkconfigpostfix 0.02 cpu 10696k mem smtpdvivek 0.00 cpu 19328k mem userhelpervivek 0.00 cpu 13018k mem idvivek 0.00 cpu 13460k mem bash *lighttpd 0.00 cpu 48240k mem php *上面了顯示了每一個用戶的進程數(shù)量和CPU時間數(shù)# sa -m輸出:667 231.96re 0.17cp 7471kroot 544 51.61re 0.16cp 7174kvivek 103 17.43re 0.01cp 8228kpostfix 18 162.92re 0

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論