acctでコマンドをロギング

/ Linux/Unix / Comment[0]
acctは各ユーザが実行したコマンドをリソース情報と共にロギングするツール。
これにより、システムへの不正アクセスやユーザの行動監視などに役立つ。

多くの侵入者はログイン後に$ unset HISTFILEと打ったり、ログアウトする際に.bash_historyを削除したりする。
root権を取られたらあれだけど、acctで別にロギングしておけば$ unset HISTFILEや.bash_historyを削除されても問題ない。

apt-getなどでインストールするだけでおk設定不要。
$ sudo apt-get install acct

ユーザのログイン時間を表示
$ ac -p
	phtm                                 0.01
total 0.01

最近実行されたコマンドを表示
$ lastcomm
modprobe               root     __         0.00 secs Sun Nov 27 23:19
rm root __ 0.00 secs Sun Nov 27 23:19
run-parts root __ 0.00 secs Sun Nov 27 23:19
mv root __ 0.00 secs Sun Nov 27 23:19
run-parts root __ 0.00 secs Sun Nov 27 23:19
SignalSender F X phtm __ 0.14 secs Sun Nov 27 23:19
chrome-sandbox S phtm __ 0.00 secs Sun Nov 27 23:19
chrome-sandbox S phtm __ 0.00 secs Sun Nov 27 23:19
sudo S root pts/2 0.00 secs Sun Nov 27 23:18

phtmが実行したコマンドを表示
$ lastcomm phtm
lastcomm               phtm     pts/2      0.00 secs Sun Nov 27 23:28
lastcomm phtm pts/2 0.00 secs Sun Nov 27 23:28
ac phtm pts/2 0.00 secs Sun Nov 27 23:27
ac phtm pts/2 0.00 secs Sun Nov 27 23:27
ac phtm pts/2 0.00 secs Sun Nov 27 23:27
ac phtm pts/2 0.00 secs Sun Nov 27 23:27
ac phtm pts/2 0.00 secs Sun Nov 27 23:27
:


フラグの意味
S スーパーユーザーで実行されたコマンド
F フォーク後実行されたが次のexecは無し
X SIGTERM(CTRL+C)が送られて終了した
関連記事

コメント

:
:
:
:
:
管理人のみ表示を許可