在 Linux 系统中,acct(即 “accounting”)是一个用于跟踪用户行为的工具
安装 acct:
对于基于 Debian 的系统(如 Ubuntu),请使用以下命令安装:
sudo apt-get install acct
对于基于 RHEL 的系统(如 CentOS、Fedora),请使用以下命令安装:
sudo yum install psacct
启用进程审计:
要启用进程审计,您需要编辑 /etc/default/grub 文件。在 GRUB_CMDLINE_LINUX 行中添加 audit=1,然后保存并退出。例如:
GRUB_CMDLINE_LINUX="quiet splash audit=1"
接下来,更新 GRUB 配置并重启系统:
sudo update-grub
sudo reboot
配置 auditd:
编辑 /etc/audit/audit.rules 文件,添加以下行以启用对相关事件的审计:
-a exit,always -F arch=b64 -S execve
-a exit,always -F arch=b32 -S execve
这将记录所有 64 位和 32 位程序的执行。保存并退出。
重启 auditd 服务:
sudo systemctl restart auditd
查看审计日志: 要查看审计日志,请使用以下命令:
sudo ausearch -m execve
这将显示所有已记录的程序执行事件。
通过这些步骤,您可以在 Linux 系统上追踪用户行为。请注意,这仅是一个简单的示例,您可能需要根据您的需求调整审计规则。要了解更多关于 auditd 和审计规则的信息,请参阅 auditd 手册页 和 audit.rules 手册页。
