acct регистрирует выполнение всех процессов и пользователей, которые их выполняют, записывая статистику, например, истекшее время в реальном времени и затраченное время процессора. Я видел предположение, что это может быть полезно в криминалистическом контексте, то есть при определении того, кто что и когда выполнял. Но поскольку он просто записывает название процесса, мне интересно, какую ценность он действительно добавляет.
Если я выполню
$ cp /usr/bin/cc vi
$ ./vi malware.c -o ls
$ ./ls
тогда журнал учета процессов будет содержать только записи с именами «cp», «vi» и «ls» - все безобидные.
Следовательно, бухгалтерский учет дает ограниченные преимущества в плане безопасности. Есть ли противоположные мнения?
Сами по себе эти журналы не очень полезны в качестве инструмента безопасности, но как только вы установили, что были скомпрометированы, вы можете проверить журналы учета, чтобы увидеть, какие команды использовал злоумышленник, и, возможно, оценить степень ущерба. Это также может пролить свет на методы злоумышленника, что позволит вам попытаться защитить себя от подобных атак в будущем.
Все сводится к многослойной практике безопасности - учет процессов не останавливает взлома, но может предоставить полезную информацию для определения того, что произошло в случае, если кто-то делает взломать и может быть полезным дополнением к вашему набору средств безопасности.