A auditoria de processos é um método de segurança no qual um administrador pode controlar os recursos do sistema utilizados e sua alocação entre os usuários, fornecer monitoramento do sistema e controlar minimamente os comandos de um usuário.
A auditoria de processos tem pontos positivos e negativos. Um dos pontos positivos é que uma intrusão pode ser rastreada ao ponto de entrada. Um valor negativo é a quantidade de logs gerados pela contabilidade do processo e o espaço em disco necessário. Esta seção conduz um administrador pelos fundamentos da contabilidade de processo.
Se uma auditoria mais detalhada for necessária, consulte Capítulo 16, Auditoria de Evento de Segurança.
Antes de usar a auditoria de processos, ela deve ser ativada usando os seguintes comandos:
#
sysrc accounting_enable=yes
#
service accounting start
As informações de auditoria são armazenadas em arquivos localizados em /var/account
, que são criados automaticamente, se necessário, na primeira vez em que o serviço de auditoria é iniciado. Esses arquivos contêm informações confidenciais, incluindo todos os comandos executados por todos os usuários. O acesso de escrita aos arquivos é limitado ao root
e o acesso de leitura é limitado ao root
e aos membros do grupo wheel
. Para também impedir que membros do grupo wheel
leiam os arquivos, altere a permissão do diretório /var/account
para permitir acesso apenas de root
.
Uma vez ativada, a auditoria começará a rastrear informações, como estatísticas de CPU e comandos executados. Todos os logs auditados estão em um formato não legível que pode ser visualizado usando sa
. Se executado sem nenhuma opção, o sa
imprime informações relacionadas ao número de chamadas por usuário, o tempo total decorrido em minutos, o total de CPU e o tempo do usuário em minutos, e o número médio de operações de I/O. Consulte sa(8) para obter a lista de opções disponíveis que controlam a saída.
Para exibir os comandos emitidos pelos usuários, use o lastcomm
. Por exemplo, este comando imprime todo o uso do comando ls
pelo usuário trhodes
no terminal ttyp1
:
#
lastcomm ls trhodes ttyp1
Muitas outras opções úteis existem e são explicadas em lastcomm(1), acct(5) e sa(8).
All FreeBSD documents are available for download at https://download.freebsd.org/ftp/doc/
Questions that are not answered by the
documentation may be
sent to <freebsd-questions@FreeBSD.org>.
Send questions about this document to <freebsd-doc@FreeBSD.org>.