acct记录所有进程的执行情况以及执行这些进程的用户,记录实际耗时和 CPU 耗时等统计信息。我曾看到有人建议这可能在取证环境中很有用,即找出谁在何时执行了什么。但由于它只记录姓名我想知道它到底增加了什么价值。
如果我执行
$ cp /usr/bin/cc vi
$ ./vi malware.c -o ls
$ ./ls
那么进程记帐日志将只包含名为“cp”、“vi”和“ls”的条目 - 所有条目都是无害的。
因此,流程会计似乎提供的安全优势有限。有相反的意见吗?
答案1
就其本身而言,这些日志作为安全工具并不是非常有用,但一旦您确定自己受到了攻击,您就可以检查会计日志,查看攻击者使用了哪些命令,并可能判断损害程度。它还可能揭示攻击者的技术,让您尝试保护自己免受将来的类似攻击。
这一切都归结为分层实施安全措施——流程核算并不能阻止有人入侵,但它可以提供有用的信息,以确定如果有人入侵会发生什么。做闯入,并可以成为您的安全工具包的有用补充。