13.12. Auditoria de Processo

Contribuído por Tom Rhodes.

A auditoria de processos é um método de segurança no qual um administrador pode controlar os recursos do sistema utilizados e sua alocação entre os usuários, fornecer monitoramento do sistema e controlar minimamente os comandos de um usuário.

A auditoria de processos tem pontos positivos e negativos. Um dos pontos positivos é que uma intrusão pode ser rastreada ao ponto de entrada. Um valor negativo é a quantidade de logs gerados pela contabilidade do processo e o espaço em disco necessário. Esta seção conduz um administrador pelos fundamentos da contabilidade de processo.

Nota:

Se uma auditoria mais detalhada for necessária, consulte Capítulo 16, Auditoria de Evento de Segurança.

13.12.1. Ativando e Utilizando a Auditoria de Processos

Antes de usar a auditoria de processos, ela deve ser ativada usando os seguintes comandos:

# sysrc accounting_enable=yes
# service accounting start

As informações de auditoria são armazenadas em arquivos localizados em /var/account, que são criados automaticamente, se necessário, na primeira vez em que o serviço de auditoria é iniciado. Esses arquivos contêm informações confidenciais, incluindo todos os comandos executados por todos os usuários. O acesso de escrita aos arquivos é limitado ao root e o acesso de leitura é limitado ao root e aos membros do grupo wheel. Para também impedir que membros do grupo wheel leiam os arquivos, altere a permissão do diretório /var/account para permitir acesso apenas de root.

Uma vez ativada, a auditoria começará a rastrear informações, como estatísticas de CPU e comandos executados. Todos os logs auditados estão em um formato não legível que pode ser visualizado usando sa. Se executado sem nenhuma opção, o sa imprime informações relacionadas ao número de chamadas por usuário, o tempo total decorrido em minutos, o total de CPU e o tempo do usuário em minutos, e o número médio de operações de I/O. Consulte sa(8) para obter a lista de opções disponíveis que controlam a saída.

Para exibir os comandos emitidos pelos usuários, use o lastcomm. Por exemplo, este comando imprime todo o uso do comando ls pelo usuário trhodes no terminal ttyp1:

# lastcomm ls trhodes ttyp1

Muitas outras opções úteis existem e são explicadas em lastcomm(1), acct(5) e sa(8).

All FreeBSD documents are available for download at https://download.freebsd.org/ftp/doc/

Questions that are not answered by the documentation may be sent to <freebsd-questions@FreeBSD.org>.
Send questions about this document to <freebsd-doc@FreeBSD.org>.