温馨提示×

linux acct 用户行为如何追踪

小樊
85
2024-08-26 22:57:16
栏目: 智能运维

在 Linux 系统中,acct(即 “accounting”)是一个用于跟踪用户行为的工具

  1. 安装 acct: 对于基于 Debian 的系统(如 Ubuntu),请使用以下命令安装:

    sudo apt-get install acct
    

    对于基于 RHEL 的系统(如 CentOS、Fedora),请使用以下命令安装:

    sudo yum install psacct
    
  2. 启用进程审计: 要启用进程审计,您需要编辑 /etc/default/grub 文件。在 GRUB_CMDLINE_LINUX 行中添加 audit=1,然后保存并退出。例如:

    GRUB_CMDLINE_LINUX="quiet splash audit=1"
    

    接下来,更新 GRUB 配置并重启系统:

    sudo update-grub
    sudo reboot
    
  3. 配置 auditd: 编辑 /etc/audit/audit.rules 文件,添加以下行以启用对相关事件的审计:

    -a exit,always -F arch=b64 -S execve
    -a exit,always -F arch=b32 -S execve
    

    这将记录所有 64 位和 32 位程序的执行。保存并退出。

  4. 重启 auditd 服务:

    sudo systemctl restart auditd
    
  5. 查看审计日志: 要查看审计日志,请使用以下命令:

    sudo ausearch -m execve
    

    这将显示所有已记录的程序执行事件。

通过这些步骤,您可以在 Linux 系统上追踪用户行为。请注意,这仅是一个简单的示例,您可能需要根据您的需求调整审计规则。要了解更多关于 auditd 和审计规则的信息,请参阅 auditd 手册页audit.rules 手册页

0