一些异常用户试图移去系统上的所有活动记录(比如~/.bash_history),不过我们可以使用专门的工具来监视所有用户执行的命令。推荐你使用进程记帐来记录用户的活动,你可以通过进程记帐查看每一个用户执行的命令,包括CPU时间和内存占用。
Psacct程序提供了几个进程活动监视工具: ac, lastcomm, accton和sa。
◆ac命令显示用户连接时间的统计。
◆lastcomm命令显示系统执行的命令。
◆accton命令用于打开或关闭进程记帐功能。
◆sa命令统计系统进程记帐的情况。
1). 安装psacct或acct软件包
如果你使用RHEL, 使用up2date命令:
# up2date psacct
如果你使用CentOS/Fedora Core Linux, 使用yum命令:
$ sudo apt-get install acct
或
# apt-get install acct
2). 启动psacct/acct服务
在Ubuntu/...[ 查看全文 ]