審計(jì)并跟蹤Linux系統(tǒng)的異常活動(dòng)詳解_第1頁(yè)
審計(jì)并跟蹤Linux系統(tǒng)的異?;顒?dòng)詳解_第2頁(yè)
審計(jì)并跟蹤Linux系統(tǒng)的異常活動(dòng)詳解_第3頁(yè)
審計(jì)并跟蹤Linux系統(tǒng)的異?;顒?dòng)詳解_第4頁(yè)
審計(jì)并跟蹤Linux系統(tǒng)的異?;顒?dòng)詳解_第5頁(yè)
已閱讀5頁(yè),還剩1頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、.:.;一些異常用戶試圖移去系統(tǒng)上的一切活動(dòng)記錄(比如/.bash_history),不過(guò)我們可以運(yùn)用專門的工具來(lái)監(jiān)視一切用戶執(zhí)行的命令。引薦他運(yùn)用進(jìn)程記帳來(lái)記錄用戶的活動(dòng),他可以經(jīng)過(guò)進(jìn)程記帳查看每一個(gè)用戶執(zhí)行的命令,包括CPU時(shí)間和內(nèi)存占用。Psacct程序提供了幾個(gè)進(jìn)程活動(dòng)監(jiān)視工具: ac, lastcomm, accton和sa。ac命令顯示用戶銜接時(shí)間的統(tǒng)計(jì)。lastcomm命令顯示系統(tǒng)執(zhí)行的命令。accton命令用于翻開或封鎖進(jìn)程記帳功能。sa命令統(tǒng)計(jì)系統(tǒng)進(jìn)程記帳的情況。1). 安裝psacct或acct軟件包假設(shè)他運(yùn)用RHEL, 運(yùn)用up2date命令:# up2date psac

2、ct假設(shè)他運(yùn)用CentOS/Fedora Core Linux, 運(yùn)用yum命令:$ sudo apt-get install acct或# apt-get install acct2). 啟動(dòng)psacct/acct效力在Ubuntu/Debian Linux系統(tǒng)上, pacct可以自動(dòng)啟動(dòng)。(安裝包會(huì)在系統(tǒng)上創(chuàng)建一個(gè)/var/account/pacct文件)。但是在Red Hat/Fedora Core/Cent OS, 他需求手動(dòng)啟動(dòng)psacct效力。敲入下面兩個(gè)命令創(chuàng)建/var/account/pacct文件和啟動(dòng)pacct效力:# chkconfig psacct on# /etc/i

3、nit.d/psacct start假設(shè)他運(yùn)用Suse Linux, 效力的稱號(hào)為acct, 敲入下面的命令:# chkconfig acct on# /etc/init.d/acct start如今我們可以了解如何利用這些工具來(lái)監(jiān)視用戶的命令和時(shí)間。3). 顯示用戶連線時(shí)間的統(tǒng)計(jì)信息命令可以根據(jù)登陸數(shù)/退出數(shù)在屏幕上打印出用戶的連線時(shí)間(單位為小時(shí))。總計(jì)時(shí)間也可以打印出來(lái)。假設(shè)他執(zhí)行沒有任何參數(shù)的ac命令, 屏幕將會(huì)顯示總計(jì)的連線時(shí)間:$ ac輸出:total 95.08顯示每一天的連線統(tǒng)計(jì)時(shí)間:$ ac -d輸出:Nov 1 total 8.65Nov 2 total 5.70Nov 3

4、 total 13.43Nov 4 total 6.24Nov 5 total 10.70Nov 6 total 6.70Nov 7 total 10.30.Nov 12 total 3.42Nov 13 total 4.55Today total 0.52顯示每一個(gè)用戶的總計(jì)連線時(shí)間和一切用戶總計(jì)連線時(shí)間:$ ac -p輸出:vivek 87.49root 7.63total 95.114). 查找用戶過(guò)去執(zhí)行的命令他可以運(yùn)用lastcomm命令打印出用戶過(guò)去執(zhí)行的命令。他也可以經(jīng)過(guò)用戶名, tty名或命令名來(lái)搜索以往執(zhí)行的命令。比如顯示vivek用戶過(guò)去執(zhí)行的命令:$ lastcomm v

5、ivek輸出:userhelper S X vivek pts/0 0.00 secs Mon Nov 13 23:58userhelper S vivek pts/0 0.00 secs Mon Nov 13 23:45rpmq vivek pts/0 0.01 secs Mon Nov 13 23:45rpmq vivek pts/0 0.00 secs Mon Nov 13 23:45rpmq vivek pts/0 0.01 secs Mon Nov 13 23:45gcc vivek pts/0 0.00 secs Mon Nov 13 23:45which vivek pts/0

6、0.00 secs Mon Nov 13 23:44bash F vivek pts/0 0.00 secs Mon Nov 13 23:44ls vivek pts/0 0.00 secs Mon Nov 13 23:43rm vivek pts/0 0.00 secs Mon Nov 13 23:43vi vivek pts/0 0.00 secs Mon Nov 13 23:43ping S vivek pts/0 0.00 secs Mon Nov 13 23:42ping S vivek pts/0 0.00 secs Mon Nov 13 23:42ping S vivek pts

7、/0 0.00 secs Mon Nov 13 23:42cat vivek pts/0 0.00 secs Mon Nov 13 23:42netstat vivek pts/0 0.07 secs Mon Nov 13 23:42su S vivek pts/0 0.00 secs Mon Nov 13 23:38每一行信息都在屏幕上打印出來(lái), 我們以第一行輸出項(xiàng)為例:userhelper S X vivek pts/0 0.00 secs Mon Nov 13 23:58分析:userhelper 是進(jìn)程的命令名。S和X是標(biāo)志信息, 由系統(tǒng)記帳程序管理。每一個(gè)標(biāo)志的含義是:S - 命令由

8、超級(jí)用戶執(zhí)行。F - 命令由fork產(chǎn)生, 但是沒有exec(執(zhí)行)。D - 命令終止并創(chuàng)建一個(gè)core文件。X - 命令被SIGTERM信號(hào)終止。vivek是執(zhí)行命令的用戶名。prts/0 終端名。0.00 secs - 進(jìn)程退出時(shí)間。他可以經(jīng)過(guò)執(zhí)行下面的命令來(lái)搜索進(jìn)程記帳日志:$ lastcomm rm$ lastcomm passwd輸出:rm S root pts/0 0.00 secs Tue Nov 14 00:39rm S root pts/0 0.00 secs Tue Nov 14 00:39rm S root pts/0 0.00 secs Tue Nov 14 00:38

9、rm S root pts/0 0.00 secs Tue Nov 14 00:38rm S root pts/0 0.00 secs Tue Nov 14 00:36rm S root pts/0 0.00 secs Tue Nov 14 00:36rm S root pts/0 0.00 secs Tue Nov 14 00:35rm S root pts/0 0.00 secs Tue Nov 14 00:35rm vivek pts/0 0.00 secs Tue Nov 14 00:30rm vivek pts/1 0.00 secs Tue Nov 14 00:30rm vivek

10、 pts/1 0.00 secs Tue Nov 14 00:29rm vivek pts/1 0.00 secs Tue Nov 14 00:29他可以經(jīng)過(guò)終端名pts/1作為關(guān)鍵字來(lái)搜索進(jìn)程記帳日志:$ lastcomm pts/15). 統(tǒng)計(jì)記帳信息他可以運(yùn)用sa命令打印過(guò)去執(zhí)行命令的統(tǒng)計(jì)信息。另外, sa命令保管了一個(gè)叫做savacct文件, 文件包含了命令被調(diào)用的次數(shù)和資源運(yùn)用的次數(shù)。而且sa還提供每一個(gè)用戶的統(tǒng)計(jì)信息, 這些信息保管在一個(gè)叫做usracct的文件當(dāng)中。# sa輸出:579 222.81re 0.16cp 7220k 4 0.36re 0.12cp 31156k up

11、2date 8 0.02re 0.02cp 16976k rpmq 8 0.01re 0.01cp 2148k netstat 11 0.04re 0.00cp 8463k grep 18 100.71re 0.00cp 11111k *other* 8 0.00re 0.00cp 14500k troff 5 12.32re 0.00cp 10696k smtpd 2 8.46re 0.00cp 10k bash 8 9.52re 0.00cp 1018k less以結(jié)果輸出的第一行為例:4 0.36re 0.12cp 31156k up2date分析:0.36re 實(shí)踐時(shí)間 單位為分鐘。0

12、.12cp 系統(tǒng)和用戶時(shí)間總數(shù)(CPU時(shí)間, 單位為分鐘)。31156K 中心運(yùn)用所占的平均CPU時(shí)間, 一個(gè)單元的大小為1KB。up2date 命令名。顯示每一個(gè)用戶:# sa -u輸出:root 0.00 cpu 595k mem acctonroot 0.00 cpu 12488k mem initlogroot 0.00 cpu 12488k mem initlogroot 0.00 cpu 12482k mem touchroot 0.00 cpu 13226k mem psacctroot 0.00 cpu 595k mem consoletyperoot 0.00 cpu 131

13、92k mem psacct *root 0.00 cpu 13226k mem psacctroot 0.00 cpu 12492k mem chkconfigpostfix 0.02 cpu 10696k mem smtpdvivek 0.00 cpu 19328k mem userhelpervivek 0.00 cpu 13018k mem idvivek 0.00 cpu 13460k mem bash *lighttpd 0.00 cpu 48240k mem php *上面了顯示了每一個(gè)用戶的進(jìn)程數(shù)量和CPU時(shí)間數(shù)# sa -m輸出:667 231.96re 0.17cp 7471kroot 544 51.61re 0.16cp 7174kvivek 103 17.43re 0.01cp 8228kpostfix 18 162.92re 0

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論