[HOW-TO]Futó programok nyilvántartása FreeBSD-n

[Toby]

Sziasztok!
Szerintem a legtöbben akik ebbe a témába belenéznek nem tudják mit is jelent, hogy a futó programok nyilvántartása a rendszerünkön. Ez röviden annyit takar, hogy minden felhasználói mozgást, bejelentkezést, beírt parancsokat stb. naplóz a rendszerünk. Előnye, hogy akár a támadás idejéig visszatudjuk követni az IP címet, a programot/parancsot amiket beírtak vagy, hogy mit töröltek mit módosítottak. Hátránya, hogy sok hely szükségeltetik hozzá a napló fájlok miatt.

A futó programok nyilvántartását engedélyeznünk kell a következő parancsokkal:

Kód Kijelölés Kibont

touch /var/account/acct
accton /var/account/acct
majd amint elvégezte a műveletet be kell írnunk az rc.conf -ba azaz
ee /etc/rc.conf és a következőt írod bele:

Kód Kijelölés Kibont

accounting_enable="YES"

az aktiválás után elkezdi listázni a processzorunk állapotát, az éppen végbe menő műveleteket percről percre. Viszont, mivel kódolva van ezért ezeket az sa segédprogrammal tudjuk megnézni.(Bővebb információért katt ide)

Hogy, ha megszeretnénk nézni, hogy mikor volt használva az rm parancs azaz a törlés akkor így tehetjük meg:

Kód Kijelölés Kibont

lastcomm rm
trhodes ttyp1

Hogy, ha parancsikon létrehozást szeretnénk megnézni akkor

Kód Kijelölés Kibont

lastcomm ls
trhodes ttyp1

Sok sikert mindenkinek
Naotake