centos 上telnet的审计功能
对linux上用户执行过的一些命令进行审计,以此来判断是否有问题。linux系统本身提供了不少审计的功能,比如syslog,history等,还有lastcomm,这个命令我查了一下,基本现在主流的unix,或linux都带的有这个命令。所以干脆就用这个命令来审计。
首先安装lastcomm,查看是否已经安装。:rpm -q acct
假如没有安装,那么执行命令:yum install acct ,这样centos 会自动帮你安装上去。还可以下载压缩包,自己来安装,
这个看具体的操作系统和个人喜好。
然后是启动服务。你可以通过:service psacct start来启动服务。也可以在/etc/init.d/psacct start 来启动。
服务启动完成后,lastcomm命令就可以使用了,打开终端,输入lastcomm 就可以看到你刚才输入过的命令。
不过有一点不好就是这个命令可以把linux系统自己运行的一些命令也审计下来。
假如需要停止服务,那么执行命令:service psacct stop
然后我们可以自己写一个后台程序,定时的去读lastcomm的审计信息。这样就实现了linux上telnet命令的审计功能。