[시스템][보안] 계정 사용자의 사용 명령어 감시하기..
계정사용자들이 사용한 명령어를 알아내는 법
이것을 하기 위해선 psacct라는 패키지가 있어야 한다. 설치 되지 않은
경우 rpm이나 소스등을 직접 설치 해 주면 된다.(대부분 배포본에
기본적으로 설치 되어 있다)
1.더미 로그 파일 생성(데이타를 기록할 화일 생성
$ touch /var/log/pacct
2.체크를 시작하게하는 명령어 실행
% /sbin/accton /var/log/pacct
참고) 부팅시 항상 체크를 하게하려면
레드햇경우) /etc/rc.d/rc.local 화일에 위의
명령어를 추가 한다.
3.사용자가 수행한 명령어 체크
% lastcomm 사용자계정
(이렇게 하면 사용한 명령어가 모두 나오게 된다)
위에 명령만 해두시면 모든 명령어가 계속 저장되어
나중에 로그 용량이 엄청 크지므로 용량 제한 법
% vi /etc/logrotate.conf 에 다음을 추가한다.
/var/log/pacct {
size=5M
rotate 4
postrotate
/sbin/accton
/sbin/accton /var/log/pacct
endscript }
위와 같이 추가해 주시면 더미 화일의 크기는 5메가로 제한 되어 제한 된
크기의 데이타 만을 저장하게 된다.
모처에서 퍼왔음.