[시스템][보안] 계정 사용자의 사용 명령어 감시하기..

계정사용자들이 사용한 명령어를 알아내는 법

이것을 하기 위해선 psacct라는 패키지가 있어야 한다. 설치 되지 않은

경우 rpm이나 소스등을 직접 설치 해 주면 된다.(대부분 배포본에

기본적으로 설치 되어 있다)

1.더미 로그 파일 생성(데이타를 기록할 화일 생성

$ touch /var/log/pacct

2.체크를 시작하게하는 명령어 실행

% /sbin/accton /var/log/pacct

참고) 부팅시 항상 체크를 하게하려면

레드햇경우) /etc/rc.d/rc.local 화일에 위의

명령어를 추가 한다.

3.사용자가 수행한 명령어 체크

% lastcomm 사용자계정

(이렇게 하면 사용한 명령어가 모두 나오게 된다)

위에 명령만 해두시면 모든 명령어가 계속 저장되어

나중에 로그 용량이 엄청 크지므로 용량 제한 법

% vi /etc/logrotate.conf 에 다음을 추가한다.

/var/log/pacct {

size=5M

rotate 4

postrotate

/sbin/accton

/sbin/accton /var/log/pacct

endscript }

위와 같이 추가해 주시면 더미 화일의 크기는 5메가로 제한 되어 제한 된

크기의 데이타 만을 저장하게 된다.

모처에서 퍼왔음.