在 Linux 系統中,acct(即 “accounting”)是一個用于跟蹤用戶行為的工具
安裝 acct:
對于基于 Debian 的系統(如 Ubuntu),請使用以下命令安裝:
sudo apt-get install acct
對于基于 RHEL 的系統(如 CentOS、Fedora),請使用以下命令安裝:
sudo yum install psacct
啟用進程審計:
要啟用進程審計,您需要編輯 /etc/default/grub 文件。在 GRUB_CMDLINE_LINUX 行中添加 audit=1,然后保存并退出。例如:
GRUB_CMDLINE_LINUX="quiet splash audit=1"
接下來,更新 GRUB 配置并重啟系統:
sudo update-grub
sudo reboot
配置 auditd:
編輯 /etc/audit/audit.rules 文件,添加以下行以啟用對相關事件的審計:
-a exit,always -F arch=b64 -S execve
-a exit,always -F arch=b32 -S execve
這將記錄所有 64 位和 32 位程序的執行。保存并退出。
重啟 auditd 服務:
sudo systemctl restart auditd
查看審計日志: 要查看審計日志,請使用以下命令:
sudo ausearch -m execve
這將顯示所有已記錄的程序執行事件。
通過這些步驟,您可以在 Linux 系統上追蹤用戶行為。請注意,這僅是一個簡單的示例,您可能需要根據您的需求調整審計規則。要了解更多關于 auditd 和審計規則的信息,請參閱 auditd 手冊頁 和 audit.rules 手冊頁。
