Полезен ли учет процессов в UNIX в целях безопасности?

Question

Полезен ли учет процессов в UNIX в целях безопасности?

acct регистрирует выполнение всех процессов и пользователей, которые их выполняют, записывая статистику, например, в реальном времени и времени ЦП. Я видел, что это говорит о том, что это может быть полезно в криминалистическом контексте, то есть для выяснения, кто, что и когда выполнил. Но так как он просто записывает название процесса, мне интересно, какое значение он действительно добавляет.

Если я выполню

$ cp /usr/bin/cc vi
$ ./vi malware.c -o ls
$ ./ls

тогда журнал учета процессов будет содержать только записи с именами "cp", "vi" и "ls" - все безобидно.

Таким образом, процесс бухгалтерского учета предлагает ограниченные преимущества безопасности. Какие-то противоположные мнения?

0

security process-accounting

Источник

jl6 09 мар '11 в 14:08

1 ответ

Другие вопросы по тегам security process-accounting

D_Bye 09 мар '11 в 14:55 2011-03-09 14:55 · Answer 1 · 2011-03-09 14:55

Сами по себе эти журналы не очень полезны в качестве инструмента безопасности, но как только вы установили, что были скомпрометированы, вы можете проверить журналы учета, чтобы увидеть, какие команды использовал злоумышленник, и, возможно, определить степень ущерба. Это также может пролить свет на методы атакующего, что позволит вам попытаться защитить себя от подобных атак в будущем.

Все сводится к практике обеспечения безопасности на разных уровнях - учет процессов не останавливает взлома, но может предоставить полезную информацию для определения того, что произошло в случае взлома, и может быть полезным дополнением к вашему набору средств безопасности.