Prozess-Überwachung (Process accounting) ist ein Sicherheitsverfahren, bei dem ein Administrator verfolgt, welche Systemressourcen verwendet werden und wie sich diese auf die einzelnen Anwender verteilen. Dadurch kann das System überwacht werden und es ist sogar möglich, zu kontrollieren, welche Befehle ein Anwender eingibt.
Die Überwachung von Prozessen hat sowohl Vor- als auch Nachteile. Positiv ist, dass man einen Einbruchsversuch bis an den Anfang zurückverfolgen kann. Von Nachteil ist allerdings, dass durch diesen Prozess Unmengen an Protokolldateien erzeugt werden, die auch dementsprechenden Plattenplatz benötigen. Dieser Abschnitt beschreibt die Grundlagen der Prozess-Überwachung.
Wenn Sie eine differenzierte Prozess-Überwachung benötigen, lesen Sie Kapitel 16, Security Event Auditing.
Bevor Sie die Prozess-Überwachung verwenden können, müssen Sie diese über die folgenden Befehle aktivieren:
#
sysrc accounting_enable=yes
#
service accounting start
Die Informationen werden unterhalb von
/var/account
gespeichert. Das
Verzeichnis wird beim ersten Start des Dienstes automatisch
erstellt. Die Dateien enthalten sensible Informationen,
einschließlich aller Befehle, die von allen Benutzern
ausgeführt wurden. Der Schreibzugriff auf diese Dateien ist
auf root
beschränkt,
der Lesezugriff auf root
und Mitgliedern der
Gruppe wheel
.
Um zu verhindern, dass die Mitglieder der Gruppe
wheel
die Dateien
lesen können, ändern Sie den Modus des Verzeichnisses
/var/account
so, dass der Zugriff nur
durch root
möglich
ist.
Einmal aktiviert, wird sofort mit der Überwachung von
CPU-Statistiken, Befehlen und anderen
Vorgängen begonnen. Protokolldateien werden in einem
nur von Maschinen lesbaren Format gespeichert und können
mit sa
aufgerufen werden. Ohne Optionen
gibt sa
Informationen wie die Anzahl der
Aufrufe pro Anwender, die abgelaufene Zeit in Minuten, die
gesamte CPU- und Anwenderzeit in Minuten
und die durchschnittliche Anzahl der Ein- und
Ausgabeoperationen aus. sa(8) enthält eine Liste der
Optionen, welche die Ausgabe steuern.
Benutzen Sie lastcomm
, um die von den
Benutzern ausgeführten Befehle anzuzeigen. Dieses Beispiel
zeigt die Nutzung von ls
durch trhodes
auf dem Terminal
ttyp1
:
#
lastcomm ls trhodes ttyp1
Zahlreiche weitere nützliche Optionen finden Sie lastcomm(1), acct(5) sowie sa(8).
Wenn Sie Fragen zu FreeBSD haben, schicken Sie eine E-Mail an
<de-bsd-questions@de.FreeBSD.org>.
Wenn Sie Fragen zu dieser Dokumentation haben, schicken Sie eine E-Mail an
<de-bsd-translators@de.FreeBSD.org>.