acctlogging所有进程的执行情况,以及执行它们的用户,logging统计数据,如实时stream逝和CPU时间。 我已经看到它表明这可能是有用的法医背景,即工作谁执行什么,什么时候。 但是,因为它只是logging过程的名称 ,所以我想知道它真正增加了什么价值。
如果我执行
$ cp /usr/bin/cc vi $ ./vi malware.c -o ls $ ./ls
那么进程记帐日志将只包含名为“cp”,“vi”和“ls”的条目 – 全部无害。
因此,会计处理appearas提供有限的安全利益。 任何相反的意见?
作为一个安全工具,这些日志本身并不是非常有用,但是一旦你确定自己已经被入侵了,你可以检查会计日志,看看攻击者使用了什么命令,并且可能会判定损害的程度。 这也可能揭示攻击者的技术,使你可以在未来保护自己免受类似的攻击。
这一切都归结为分层实践安全性 – stream程会计不会阻止某个人入侵,但它可以提供有用的信息来确定发生的事情,如果有人入侵,并且可以成为安全工具包的有用补充。