Auteur : Olivier BOYER - oboyer () ajoute ! org

OpenBSD, système, accounting

Ce document décrit comment mettre en place l'accounting sur un système OpenBSD.

• un système OpenBSD sur lequel l'administrateur veut connaître les commandes exécutées par les utilisateurs.

Toutes les commandes présentées ici, sont à exécuter, sauf mention contraire, en tant qu'administrateur de la machine.

Aucun, tout est livré par défaut avec le système.

La mise en place de l'accounting sous OpenBSD est très simple. Il sufit d'exécuter en tant que root la commande suivante :

Avant tout, il faut créer le fichier dans lequel seront enregistrées les données collectées. Procédez comme suit :

# cat /dev/null > /var/account/acct

Les données d'accounting doivent rester confidentielles. Pour ce faire, interdisez comme suit,l'accès aux fichiers d'accounting :

# chmod 750 /var/account
# chmod 640 /var/account/acct

Pour démarrer l'accounting, c'est très simple, il suffit d'exécuter la commande suivante :

# accton /var/account/acct

Sur les systèmes Openbsd jusqu'à la version 4.0, l'accounting était démarré via le script /etc/rc, dès que le fichier /var/account/acct était créé.

Depuis la version OpenBSD 4.1, l'accounting est démarré en positionnant la variable accounting=YES dans le fichier /etc/rc.conf.local. Il n'est plus nécessaire de créer le fichier /var/account/acct.

Ajoutez la ligne suivante au fichier /etc/rc.conf.local :

accounting=YES      # process accounting (using /var/account/acct)

Pour désactiver l'accounting, c'est toujours très simple, il suffit d'exécuter la commande suivante :

# accton

Pour lire les rapports d'accounting, il existe deux commandes :

• lastcomm(1) : affiche les commandes exécutées en ordre inverse
• sa(8) : affiche les statistiques de l'accounting

Le script /etc/daily gère automatiquement les fichiers d'enregistrement de l'accounting. L'admistrateur n'a donc pas besoin de s'en préoccuper.

Extrait du script /etc/daily :

if [ -f /var/account/acct ]; then
        echo ""
        echo "Purging accounting records:"
        mv -f /var/account/acct.2 /var/account/acct.3
        mv -f /var/account/acct.1 /var/account/acct.2
        mv -f /var/account/acct.0 /var/account/acct.1
        cp -f /var/account/acct /var/account/acct.0
        sa -sq
fi

• accton(8)
• sa(8)
• lastcomm(1)

• L'accounting dans le NetBSD Guide
• L'accounting dans le FreeBSD HandBook

Le script suivant liste toutes les commandes exécutées par chaque utilisateur du système :

# for u in $(cat /etc/passwd| grep -v nologin| awk -F: '{print $1}')
> do
> echo " ===== $u ===== "; lastcomm $u
> done

Ou, dans le cas d'utilisateurs NIS :

# for u in $(ypcat passwd| awk -F: '{print $1}')
> do 
> echo " ===== $u ===== "; lastcomm $u
> done

Voici un exemple de script de démarrage et d'arrêt de l'accounting :

/etc/rc.d/account