13.12. Auditoria de Processo

Contribuído por Tom Rhodes.

A auditoria de processos é um método de segurança no qual um administrador pode controlar os recursos do sistema utilizados e sua alocação entre os usuários, fornecer monitoramento do sistema e controlar minimamente os comandos de um usuário.

A auditoria de processos tem pontos positivos e negativos. Um dos pontos positivos é que uma intrusão pode ser rastreada ao ponto de entrada. Um valor negativo é a quantidade de logs gerados pela contabilidade do processo e o espaço em disco necessário. Esta seção conduz um administrador pelos fundamentos da contabilidade de processo.

Nota:

Se uma auditoria mais detalhada for necessária, consulte Capítulo 16, Auditoria de Evento de Segurança.

13.12.1. Ativando e Utilizando a Auditoria de Processos

Antes de usar a auditoria de processos, ela deve ser ativada usando os seguintes comandos:

# touch /var/account/acct
# chmod 600 /var/account/acct
# accton /var/account/acct
# sysrc accounting_enable=yes

Uma vez ativada, a auditoria começará a rastrear informações, como estatísticas de CPU e comandos executados. Todos os logs auditados estão em um formato não legível que pode ser visualizado usando sa. Se executado sem nenhuma opção, o sa imprime informações relacionadas ao número de chamadas por usuário, o tempo total decorrido em minutos, o total de CPU e o tempo do usuário em minutos, e o número médio de operações de I/O. Consulte sa(8) para obter a lista de opções disponíveis que controlam a saída.

Para exibir os comandos emitidos pelos usuários, use o lastcomm. Por exemplo, este comando imprime todo o uso do comando ls pelo usuário trhodes no terminal ttyp1:

# lastcomm ls trhodes ttyp1

Muitas outras opções úteis existem e são explicadas em lastcomm(1), acct(5) e sa(8).

All FreeBSD documents are available for download at https://download.freebsd.org/ftp/doc/

Questions that are not answered by the documentation may be sent to <freebsd-questions@FreeBSD.org>.
Send questions about this document to <freebsd-doc@FreeBSD.org>.