最近、誰かが同意なしに私のコンピュータを使ってフォルダを閲覧するなどの行為をしているという事実を発見しました。
すべてのパスワードをすぐに変更できますが、侵入者が何を探しているのか疑問に思います。だから罠をかけたい(邪悪な笑顔)。
コンピュータの活動を監視できるソフトウェアは何ですか?私の画面キャプチャがここで動作することを知っていますが。むしろログファイルを使いたいです。
たとえば、
/var/log/activity.log
[2010年8月1日20:23] /usr/bin/thunarアクセス/multimedia/cctv-records/
[2010年8月1日20:25] /usr/bin/mplayerアクセス /multimedia/cctv-records/ 00232.avi
[ 2010年8月3日 02:34] /usr/bin/thunderbird running
[2010年8月3日 03:33] 12.32.132.123から入ってくるSSHセッション
私が記録したい活動は次のとおりです。
- ファイルシステムのファイルとフォルダにアクセスする
- 実行するコマンド(コンソールまたはその他の方法)
- ユーザーセッション(ログイン、SSHセッション、失敗した試行)
ベストアンサー1
カーネルメカニズムを使用してinotifyアクセスされたファイルを監視できます。
inotifyまず、カーネルで開いていることを確認する必要があります。
pbm@tauri ~ $ zcat /proc/config.gz | grep CONFIG_INOTIFY
CONFIG_INOTIFY=y
CONFIG_INOTIFY_USER=y
次のことはインストールですinotify-tools。次のサイトで、さまざまな展開の手順を見つけることができます。プロジェクトページ- すべての主要なディストリビューションのリポジトリになければなりません。
その後、inotifyが作業を開始できます。
inotifywait /dirs/to/watch -mrq
( m= イベント発生後終了しない、r= 再帰的、q= 静か)
たとえば - 出力後ls /home/pbm
pbm@tauri ~ $ inotifywait /bin /home/pbm -mq
/bin/ OPEN ls
/bin/ ACCESS ls
/bin/ ACCESS ls
/home/pbm/ OPEN,ISDIR
/home/pbm/ CLOSE_NOWRITE,CLOSE,ISDIR
/bin/ CLOSE_NOWRITE,CLOSE ls
監視ディレクトリを正しく設定することが重要です。
- 繰り返し視聴しないでください。読み書き
/が多い/dev/proc - ホームディレクトリを繰り返し検索しないでください。アプリケーションを使用する場合は、アプリケーション構成ディレクトリとブラウザ構成ファイルディレクトリの読み取り/書き込み操作がたくさんあります。
/proc/sys/fs/inotify/max_user_watches同時に表示できるファイル数を示す設定オプションがあります。 (Gentooの場合)デフォルトはあまり高くないため、ウォッチャーを0に設定すると/home/制限を超える可能性があります。echo(ルートアクセスが必要)を使用して制限を増やすことができます。
echo 524288 > /proc/sys/fs/inotify/max_user_watches
しかしその前に読むべきこと変化の結果。
興味のあるオプション:
-d=デーモンモード-o file=ファイルとして出力--format=カスタム形式、詳細については参照man inotifywait-e EVENT=監視する必要があるイベント(例:accessなどmodify、詳細については参照man)