Ведение журнала wtmp поддерживается практически всеми дистрибутивами Linux, но следующий метод - BSD Process Accounting (BSD-учет процессов) - поддерживается не во всех дистрибутивах.

     Как видно из названия, этот метод позаимствован из мира BSD. Он дает возожность протоколировать процессы, запущенные в системе. Если система его не поддерживает, рекомендуется включить его. Для этого надо перекомпилировать ядро, включив опцию CONFIG_BSD_PROCESS_ACCT в меню General Setup ядер 2.4 и 2.6.

     Также понадобится пакет GNU Accounting Utilities Package (http://savannah.gnu.org/projects/acct/), содержащий пользовательские утилиты для учета процессов. После установки данного пакета нужно создать каталог, в который будет записываться информация учета процессов, будет применяться каталог /var/account. Еще надо создать файл pacct в данном каталоге:

     Нужно убедится, что были установлены нужные права к этому файлу:

     Для включения и выключения учета применяется утилита accton. Для включения учета во время загрузки нужно отредактировать файл /etc/red/rc.local, добавив в него следующие строки:

     Чтобы изменения вступили в силу, нужно перезагрузить компьютер.

     Утилита ас, входящая в состав пакета GNU Accounting Utilities Package, показывает информацию об общем времени функционирования пользователей. Наиболее полезными являются опции -d и -р, отображающие отдельно общее время функционирования за день и общее время деятельности индивидуального пользователя:

     Команда sa обобщает всю отслеживаемую информацию:

     В первом столбце указывается процессорное время (в секундах), занятое процессом, второе поле - это «реальное время», также в секундах. Среднее употребление ядра показано в третьем столбце (в Кб). Четвертый столбец воспроизводит среднее количество операций ввода/вывода, а в пятом столбце выводится занимаемая процессом память. Последний столбец - это имя процесса.

     При вызове sa можно задать несколько полезных параметров командной строки:

     О дополнительных параметрах командной строки можно прочитать в справочной системе.

     Рассмотрим еще одну утилиту из данного пакета - lastcomm. Эта утилита показывает информацию о последних выполненных командах. Если при запуске не указывать аргументы, то будет выведена вся информация из файла /var/account/pacct. Чтобы немного сократить вывод,  можно применять аргументы -user <имя пользователя> или -command <команда>:

     Анализ протоколов с помощью Lire.

     Поиск в системных журналах подозрительных записей - занятие изрядно утомительное. Для его облегчения были созданы анализаторы системных журналов. Список лучших анализаторов можно найти по адресу: http://www.linux.org/apps/all/Administration/Log_Analyzers.html.

     Более менее нормальный анализатор - Lire, - доступен по адресу: http://www.logreport.org/lire. Lire умеет обрабатывать всевозможные файлы протоколов - протоколы syslog, Sendmail, Qmail, Postfix, Apache, lPTables, MySQL, BIND. Также Lire может создать отчет о подозрительных записях в нескольких форматах (HTML, XML и PDF).

     Для функционирования программы нужен Perl и много дополнительных модулей. Необходимые для Lire модули перечислены на Web-сайте разработчика. Если не знакома оболочка CPAN, упрощающая загрузку и установку дополнительных модулей Perl, то сейчас самое время с ней познакомиться - в дальнейшем это сделает жизнь проще. Описание данной оболочки будет дано позднее.

Очень интересный обзор блогов о безопасности.

Знакомьтесь: Securos