Sziasztok!
Szerintem a legtöbben akik ebbe a témába belenéznek nem tudják mit is jelent, hogy a futó programok nyilvántartása a rendszerünkön. Ez röviden annyit takar, hogy minden felhasználói mozgást, bejelentkezést, beírt parancsokat stb. naplóz a rendszerünk. Előnye, hogy akár a támadás idejéig visszatudjuk követni az IP címet, a programot/parancsot amiket beírtak vagy, hogy mit töröltek mit módosítottak. Hátránya, hogy sok hely szükségeltetik hozzá a napló fájlok miatt.
A futó programok nyilvántartását engedélyeznünk kell a következő parancsokkal:
touch /var/account/acct
accton /var/account/acct
majd amint elvégezte a műveletet be kell írnunk az rc.conf -ba azaz
ee /etc/rc.conf és a következőt írod bele:
accounting_enable="YES"
az aktiválás után elkezdi listázni a processzorunk állapotát, az éppen végbe menő műveleteket percről percre. Viszont, mivel kódolva van ezért ezeket az sa segédprogrammal tudjuk megnézni.(Bővebb információért katt ide (http://www.freebsd.org/cgi/man.cgi?query=sa&sektion=8))
Hogy, ha megszeretnénk nézni, hogy mikor volt használva az rm parancs azaz a törlés akkor így tehetjük meg:
lastcomm rm
trhodes ttyp1
Hogy, ha parancsikon létrehozást szeretnénk megnézni akkor
lastcomm ls
trhodes ttyp1
Sok sikert mindenkinek :)
Naotake