Предупреждение

Если вам стало известно о взломе системы, не доверяйте информации, хранящейся в файлах lastlog, utmp, wtmp и pacct, поскольку они могли быть модифицированы хакером (но и не игнорируйте их). Не исключено также, что хакер в настоящий момент находится в системе, поэтому он заменил команду who, чтобы скрыть свое присутствие.

С помощью команды lastcomm можно быстро выяснить, кто из пользователей какие команды выполнял и когда именно. Но не забудьте предварительно включить режим учета процессов.

Учетные файлы

Файлы /var/run/utmp, /var/log/wtmp и /var/log/pacct — это динамические базы данных. Они непрерывно разрастаются и со временем могут стать очень большими. Здесь же мы расскажем о том, как работать с данными конкретными файлами.

В Red Hat имеется удобная утилита logrotate. Она читает конфигурационный файл /etc/logrotate. conf, в котором по умолчанию задается проверка каталога /etc/ logrotate. d. Следовательно, если необходимо управлять файлами, которые увеличиваются динамически, поместите в этот каталог соответствующий сценарий. Ниже показан вариант сценария, управляющего файлом /var/log/wtmp.

Сценарий ротации учетного файла

/var/log/wtmp { rotate 5 weekly errors root@topcat mail root@topcat copytruncate compress size 100k

Этот сценарий осуществляет ротацию учетного файла каждую неделю. Не пытайтесь делать что-то подобное с файлом /var/log/pacct, так как он непрерывно обновляется. Если файл становится слишком большим, заархивируйте его в однопользовательском режиме. Если же систему нельзя остановить, отключите учет процессов с помощью команды accton и заархивируйте файл. Часть информации при этом будет потеряна, так что выберите момент, когда система наименее активна.


Ведете ли вы блог?

Да
Нет
Планирую


Результаты опроса

Новостной блок