Linux посмотреть кто заходил

Linux и Windows: помощь админам и пользователям

Администрируем и настраиваем Windows, Linux.

4 способа определить кто залогинен в Linux

Если вы системный администратор, вы в любой момент времени можете захотеть узнать кто залогинен на вашем Linux сервере. Несомневаюсь что вам известен способ, который позволяет вам узнать это, но знаете ли вы все их и используете самый удобный? В этой статье мы рассмотрим 4 возможных способа.

1. Получаем список пользователей и команды, используемые ими с помощью команды w

Команда w используется для получения списка залогиненных пользователей и выполняемых ими команд. Вывод команды w содержит следующие колонки:[cut]

• Имя пользователя
• Номер tty
• Адрес, с которого произошло подключение
• Время подключения
• Время бездействия
• Время, затраченное всеми процессами в данном сеансе (JCPU)
• Время, потраченное текущим процессом (PCPU)
• Команда, выполняемая пользователем

Дополнительно могут быть использованы следующие опции:

• -h игнорировать информацию заголовка
• -u отображать текущую загрузку
• -s Удалить из вывода JCPU, PCPU, и время подключения

2. Получаем список пользователей с помощью команды who

Команда who используется для получения списка пользователей, залогиненных в системе. В выводе находятся следующие колонки: имя пользователя, номер tty, дата и время, адрес подключения.

Для получения отсортированного списка используем команду:

3. Узнаем под каким пользователем залогинены вы сами

Команда whoami сообщит вам информацию о том, под какой учетной записью вы залогинены в системе. Полезно использовать с похмелья

whoami дает такую же информацию, как и команда id -un

4. Смотрим историю подключений пользователя

Команда last покажет вам историю подключений для определенного пользователя. Если в качестве аргумента не указан логин какого либо пользователя, отобразится история для всех пользователей. Данная информация берется из файла /var/log/wtmp. В выводе присутствуют следующие колонки:

• Имя пользователя
• Номер Tty
• Время и дата подключения
• Время отключения
• Общее время работы сеанса

Постовой

Не хватает фантазии сочинить собственный текст, или просто нет времени? Вам определенно требуется копирайтер, который сделает для вас качественный уникальный материал.

Качественные объективы для фотоаппаратов. Практические все виды объективов по низким ценам.

Источник

IT technologies in our life

Вещи, которые достались тем, кто ждал – это вещи, которые оставили за собой те, кто их добыл своими силами.

«Steven Tyler»

Свежачёёёк

Рубрики

Ссылки

Календарег

Октябрь 2021

Пн	Вт	Ср	Чт	Пт	Сб	Вс
« Дек
1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30	31

Last или кто заходил на сервер

Last — стандартная команда Linux позволяющя увидеть логины, ребуты и т.п
Linux хранит информацию о сессиях в трех файлах

Утилита last просматривает файлы /var/log/wtmp и показывает нам кто входил на сервер с момента создания этого файла.

# last
root pts/0 10.0.0.5 Wed Mar 30 16:47 still logged in
reboot system boot 2.6.32-21-generi Fri Jan 31 05:05 — 18:08 (2980+12:02)
root pts/0 10.0.0.5 Mon Mar 28 17:12 — 17:45 (00:32)
root pts/0 10.0.0.116 Mon Mar 21 16:01 — 16:02 (00:01)
root pts/0 10.0.0.100 Fri Mar 18 10:54 — 12:14 (01:19)
root pts/0 10.0.0.5 Tue Mar 15 14:36 — 15:50 (01:14)
root pts/0 10.0.0.5 Mon Mar 14 12:17 — 14:05 (01:47)
root pts/2 10.0.0.5 Fri Mar 11 15:12 — 17:18 (02:05)
root pts/0 10.0.0.5 Fri Mar 11 13:09 — 15:12 (02:03)
root pts/0 10.0.0.5 Fri Mar 11 12:53 — 13:08 (00:14)
root pts/0 10.0.0.5 Thu Mar 10 18:15 — 21:25 (03:09)
root pts/0 10.0.0.5 Thu Mar 10 14:07 — 14:09 (00:01)
root pts/0 10.0.0.5 Wed Mar 9 12:30 — 16:16 (03:46)
root pts/0 10.0.0.5 Mon Mar 7 11:57 — 11:59 (00:01)
root pts/0 10.0.0.5 Mon Mar 7 11:42 — 11:50 (00:08)
root pts/0 10.0.0.5 Fri Mar 4 18:32 — 21:43 (03:11)
root pts/0 10.0.0.5 Wed Mar 2 21:35 — 22:17 (00:42)
root pts/0 10.0.0.5 Wed Mar 2 19:30 — 19:38 (00:08)
root pts/0 10.0.0.5 Tue Mar 1 13:25 — 16:15 (02:50)
root tty1 Tue Mar 1 11:01 — 11:02 (00:00)
root tty1 Tue Mar 1 11:01 — 11:01 (00:00)
reboot system boot 2.6.32-21-generi Thu Jan 2 03:19 — 18:08 (3009+13:49)

wtmp begins Thu Jan 2 03:19:01 2003
root@gate:

last -x дотолнительно выводит изменения rynlevel

# last -x
root pts/0 10.0.0.5 Wed Mar 30 16:47 still logged in
runlevel (to lvl 2) 2.6.32-21-generi Fri Jan 31 05:05 — 18:09 (2980+12:03)
reboot system boot 2.6.32-21-generi Fri Jan 31 05:05 — 18:09 (2980+12:03)
root pts/0 10.0.0.5 Mon Mar 28 17:12 — 17:45 (00:32)
root pts/0 10.0.0.116 Mon Mar 21 16:01 — 16:02 (00:01)
root pts/0 10.0.0.100 Fri Mar 18 10:54 — 12:14 (01:19)
root pts/0 10.0.0.5 Tue Mar 15 14:36 — 15:50 (01:14)
root pts/0 10.0.0.5 Mon Mar 14 12:17 — 14:05 (01:47)
root pts/2 10.0.0.5 Fri Mar 11 15:12 — 17:18 (02:05)
root pts/0 10.0.0.5 Fri Mar 11 13:09 — 15:12 (02:03)
root pts/0 10.0.0.5 Fri Mar 11 12:53 — 13:08 (00:14)
root pts/0 10.0.0.5 Thu Mar 10 18:15 — 21:25 (03:09)
root pts/0 10.0.0.5 Thu Mar 10 14:07 — 14:09 (00:01)
root pts/0 10.0.0.5 Wed Mar 9 12:30 — 16:16 (03:46)
root pts/0 10.0.0.5 Mon Mar 7 11:57 — 11:59 (00:01)
root pts/0 10.0.0.5 Mon Mar 7 11:42 — 11:50 (00:08)
root pts/0 10.0.0.5 Fri Mar 4 18:32 — 21:43 (03:11)
root pts/0 10.0.0.5 Wed Mar 2 21:35 — 22:17 (00:42)
root pts/0 10.0.0.5 Wed Mar 2 19:30 — 19:38 (00:08)
root pts/0 10.0.0.5 Tue Mar 1 13:25 — 16:15 (02:50)
root tty1 Tue Mar 1 11:01 — 11:02 (00:00)
root tty1 Tue Mar 1 11:01 — 11:01 (00:00)
runlevel (to lvl 2) 2.6.32-21-generi Thu Jan 2 03:19 — 05:05 (29+01:46)
reboot system boot 2.6.32-21-generi Thu Jan 2 03:19 — 18:09 (3009+13:50)

wtmp begins Thu Jan 2 03:19:01 2003
root@gate:

Источник

Отслеживание журналов входа в систему в Ubuntu

Вступление

Конфигурирование и управление пользователями и группами – основная часть системного администрирования. Эта задача включает в себя мониторинг возможностей входа всех элементов системы.

В данном руководстве представлены основные понятия об управлении пользователями и ведении журнала аутентификации. Данные принципы работы изучаются на примере выделенного сервера Ubuntu 12.04, но любой современный дистрибутив Linux работает таким же образом.

В третьей части говорится о том, как отслеживать журнал регистрации доступа, чтобы убедиться в том, что система доступна только для авторизованных пользователей.

Отслеживание входа в систему

Основным компонентом управления аутентификацией является мониторинг системы после настройки пользователей.

К счастью, современные системы Linux регистрируют все попытки аутентификации в дискретном файле. Он расположен в «/var/log/auth.log».

sudo less /var/log/auth.log
May 3 18:20:45 localhost sshd[585]: Server listening on 0.0.0.0 port 22.
May 3 18:20:45 localhost sshd[585]: Server listening on :: port 22.
May 3 18:23:56 localhost login[673]: pam_unix(login:session): session opened fo
r user root by LOGIN(uid=0)
May 3 18:23:56 localhost login[714]: ROOT LOGIN on ‘/dev/tty1’
Sep 5 13:49:07 localhost sshd[358]: Received signal 15; terminating.
Sep 5 13:49:07 localhost sshd[565]: Server listening on 0.0.0.0 port 22.
Sep 5 13:49:07 localhost sshd[565]: Server listening on :: port 22.
. . .

Использование команды «last»

Как правило, нужно отследить только самые последние попытки входа. Это можно сделать при помощи инструмента «last»:

last
demoer pts/1 rrcs-72-43-115-1 Thu Sep 5 19:37 still logged in
root pts/1 rrcs-72-43-115-1 Thu Sep 5 19:37 — 19:37 (00:00)
root pts/0 rrcs-72-43-115-1 Thu Sep 5 19:15 still logged in
root pts/0 rrcs-72-43-115-1 Thu Sep 5 18:35 — 18:44 (00:08)
root pts/0 rrcs-72-43-115-1 Thu Sep 5 18:20 — 18:20 (00:00)
demoer pts/0 rrcs-72-43-115-1 Thu Sep 5 18:19 — 18:19 (00:00)

Это действие выводит отформатированную версию файла «/etc/log/wtmp».

Как можно видеть, в первой и третьей строках показано, что пользователь все еще находится в системе.

В противном случае, общее время сеанса пользователя задается набором значений, разделенных дефисом.

Использование команды «lastlog»

Чтобы получить подобную информацию в другом виде, можно просмотреть последний раз входа в систему каждого пользователя.

Это можно сделать, войдя в файл «/etc/log/lastlog». Данная информация сортируется в соответствии с записями в файле «/etc/passwd»:

lastlog
Username Port From Latest
root pts/1 rrcs-72-43-115-1 Thu Sep 5 19:37:02 +0000 2013
daemon **Never logged in**
bin **Never logged in**
sys **Never logged in**
sync **Never logged in**
games **Never logged in**
. . .

Здесь можно увидеть время последнего входа в систему каждого пользователя.

Обратите внимание, на данный момент многие пользователи системы никогда не входили, о чем говорит значение **Never logged in**.

Итоги

Авторизация пользователей в Linux является относительно гибкой областью управления системой, так как одну и ту же задачу можно выполнить разными способами при помощи простых инструментов.

Важно запомнить, где система хранит информацию о входе, чтобы отслеживать внесенные на сервер изменения

Источник

как узнать ip входившего по ssh?

есть сервер с дебиан 7 и надо узнать, заходил на него кто-то или нет, так как есть подозрение об утечке рут доступа

где в системе он мог засветиться? где-то сохраняются ип адреса входивших по ssh?

Если у злоумышленника уже есть рут, то это не поможет. Единственный вариант это ставить систему с нуля

обычно логи пишутся в /var/log/auth.log

Я думаю если его скомпрометировали, то найти будет сложновато, обычно следы за собой подчищают, хотя попробовать можно. На будущее могу посоветовать отправку сообщений на почту по логину.

добавлю пять копеек про смс по логину, очень удобно.

а как именно? просто в .bashrc прописать скрипт, шлющий письмо/смс?

Если у злоумышленника уже есть рут, то это не поможет. Единственный вариант это ставить систему с нуля

ну это само собой что не поможет. а вот про — «с нуля» не согласен категорически, достаточно контрольные суммы проверить и восстановить измененные файлы ну и слегка упороться по восстановлению картины проишедшего.

проверка контрольных сумм покажет изменения в кротабе и исполняемые файлы в /tmp?

etc как и все конфиги по уму нужно в mercurial/git и т.д хранить.

/tmp, /var/tmp и т.д. вычищать, на остальные не связанные с бинарниками каталоги делать noexec.

Мне проще переставить систему, чем считать контрольные суммы и т.д. Конфиги готовые, надо просто поставить пакеты из заранее известного списка

Мне проще переставить систему, чем считать контрольные суммы и т.д. Конфиги готовые, надо просто поставить пакеты из заранее известного списка

ну да. случаи бывают разные, твой вариант тоже имеет право на жизнь.

Файл /var/log/wtmp хранит информацию по сеансам, если его не поправил злоумышленник.

Прочитать его можно например таким скриптом:

Актуально запретить вход по ssh от имени root, а команды запускать используя sudo.

Источник

Как проследить за действиями пользователя

Как проследить за действиями пользователя так сказать в режиме ONLINE. Тоесть такие в данный момент комманды вводяться и какие действия с файлами осущиствляються.

Команды lsof и watch не дают желаемого результата.

Re: Как проследить за действиями пользователя

Поставить камеру видеонаблюдения у него за спиной.

Re: Как проследить за действиями пользователя

)))))))))))))) Это конечно можно. но интересует именно програмынй вариант решения.

Re: Как проследить за действиями пользователя

Если пользователь не обременен излишним интеллектом и ни о чем не догадается, можно попробовать сменить login shell на screen — можно настроить, чтобы подключаться к работающему сеансу read-only, в иксах — vnc.

Re: Как проследить за действиями пользователя

> Как проследить за действиями пользователя так сказать в режиме ONLINE. Тоесть такие в данный момент комманды вводяться и какие действия с файлами осущиствляються.

команды — если в X11 вводятся то можно средствами X11 узнать. как с консоле не знаю. действия с файлами — man inotify.

Re: Как проследить за действиями пользователя

оболочку с /bin/bash сменил на screen в файле /etc/passwd

но vnc в исках при подключении к хосту на котором проделаны выше указанные действия не подключаеться (скорее всего из-за того что на хосте нету иксов). Нужно именно выявить действия в консольке, например пользователь запустил MC и я вижу что он в нем делает, если конечно это возможно

Re: Как проследить за действиями пользователя

Re: Как проследить за действиями пользователя

vnc для консоли или было еще что то в этом же плане, точнее не подскажу

Re: Как проследить за действиями пользователя

можно в конфигурационном файле screen настроить, чтобы лог велся в заданный заранее файл, но в случае mc, думаю это не поможет.

Re: Как проследить за действиями пользователя

скриптик снимающий скриншоты в какую-нибудь диру 2-3 раза в секунду

Re: Как проследить за действиями пользователя

1. включить audit — просто и надёжно, но увидишь низкоуровнево — не что он делает а как, и вероятно не очень online, если оно буферизирует вывод.

2. заменить shell на http://sourceforge.net/projects/eash/ — увидишь только ввод-вывод терминала, зато весь.

3. добавить в bashrc «trap ‘logger . $BASH_COMMAND’ DEBUG» — увидишь только команды shell-а, и то не все и если он не против. Зато проще понять, что он хотел.

Re: Как проследить за действиями пользователя

Re: Как проследить за действиями пользователя

> оболочку с /bin/bash сменил на screen в файле /etc/passwd

Ну и замечательно. Только путь к screen нужно полный прописать. Заходите на ту же машину по SSH и выполняете комманду screen -x. Когда надоест смотреть за подопечным жмите Ctrl+A D. Подробнее см. man screen.

Re: Как проследить за действиями пользователя

Поскольку со screen’om не получилось подключиться, предложенный вариант с использованием «ttysnoop» вполне подходит. Только вот он спрашивает пароль и логин пользователя за хоторым нужно смотреть. но я буду еще читать man.

Если будут еще идеии — пишите!

Re: Как проследить за действиями пользователя

Способ в том, что можно делать ‘cat /dev/vcs1’ с какой угодно периодичностью и наблюдать какие действия производит пользователь. ну и делать с правами рута конечно

Re: Как проследить за действиями пользователя

использовал твой способ и немного модернизировал, вот что получилось:

watch -n1 «cat /dev/vcs1» если смотреть из X11 то размер в консольке нужно выбрать 80х40(XTerm), кодировку. подбирать(чтобы было видно русские буквы)

он позволяет смотреть за консолью которая открыта непосредственно с компа, а не по ssh, что касаеться подглядывания за консолью это пожалуй лучший вариант.

Re: Как проследить за действиями пользователя

cat /dev/vcs2 |while read -n80 line; do echo «$line»; done

И наверное с кордировкой что-то надо придумать (и брать /dev/vcsa если хочется в цвете)

Источник