Una delle attività più critiche che hai come amministratore di sistema è monitorare il tuo sistema per qualsiasi attività sospetta che potrebbe indicare una compromissione della sicurezza e agire su di essa. Dovresti valutare l'attività di accesso per individuare i segni di una violazione della sicurezza, ad esempio più accessi non riusciti.
NOTA :La revisione di file come /var/log/messages può anche fornire informazioni sull'attività di accesso.Per monitorare l'attività di accesso, puoi utilizzare i seguenti comandi:
chi
Il comando who Mostra chi è attualmente connesso al sistema e informazioni come l'ora dell'ultimo accesso. Puoi utilizzare opzioni come
-H (visualizza le intestazioni delle colonne)
-r (livello di esecuzione attuale)
-a (visualizza le informazioni fornite dalla maggior parte delle opzioni).
Ad esempio, inserendo chi -H si ottengono informazioni simili alle seguenti:
# who -H NAME LINE TIME COMMENT user pts/0 2017-12-14 09:58
Allo stesso modo il comando 'who -a' visualizzerà l'output come mostrato di seguito.
# who -a
system boot 2017-12-14 09:51
LOGIN ttyS0 2017-12-14 09:52 1103 id=tyS0
LOGIN tty1 2017-12-14 09:52 1102 id=tty1
run-level 3 2017-12-14 09:53
user + pts/0 2017-12-14 09:58 . 1164 con
Il "w ' comando Visualizza le informazioni sugli utenti attualmente sulla macchina e sui loro processi. La prima riga include informazioni sull'ora corrente, da quanto tempo è in esecuzione il sistema, quanti utenti sono attualmente connessi e la media del carico del sistema negli ultimi 1, 5 e 15 minuti.
Sotto la prima riga è presente una voce per ciascun utente che visualizza il nome di accesso, il nome TTY, l'host remoto, il tempo di accesso, il tempo di inattività, JCPU, PCPU e la riga di comando del processo corrente dell'utente. Di seguito è riportato un esempio di output del comando w.
# w 11:05:37 up 1:14, 2 users, load average: 0.00, 0.01, 0.05 USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT user pts/0 09:58 1:04m 0.38s 1.74s login -- user user pts/1 11:05 1.00s 0.03s 0.15s login -- user
Il tempo JCPU è il tempo utilizzato da tutti i processi collegati a tty. Non include i lavori in background passati, ma include i lavori in background attualmente in esecuzione. L'ora PCPU è l'ora utilizzata dal processo corrente, denominata nel campo
Quale. Puoi utilizzare opzioni come -h (non visualizzare l'intestazione), -s (non visualizzare l'ora di accesso, JCPU e PCPU) e -V (visualizzare le informazioni sulla versione).
dito
Il comando finger visualizza informazioni sugli utenti del sistema locali e remoti. Per impostazione predefinita, vengono visualizzate le seguenti informazioni su ciascun utente attualmente connesso all'host locale:
1. Nome di accesso dell'utente
2. Nome completo dell'utente
3. Nome del terminale associato
4. Tempo di inattività
5. Orario di accesso (e da dove)
Puoi utilizzare opzioni come -l (formato lungo) e -s (formato breve) . Ad esempio, l'immissione di "finger -s" restituisce informazioni simili alle seguenti:
# finger -s Login Name Tty Idle Login Time Office Office Phone Host user pts/0 1:18 Dec 14 09:58 user pts/1 Dec 14 11:05
# finger -l Login: user Name: Directory: /home/user Shell: /bin/bash On since Thu Dec 14 09:58 (EST) on pts/0 1 hour 18 minutes idle On since Thu Dec 14 11:05 (EST) on pts/1 1 second idle No mail. No Plan.
ultimo
L'ultimo comando mostra un elenco di utenti che hanno effettuato l'accesso e si sono disconnessi dal /var/log/wtmp il file è stato creato. L'ultimo comando effettua una ricerca nel file /var/log/wtmp (o nel file designato da -f opzione) e visualizza un elenco di tutti gli utenti che hanno effettuato l'accesso (e si sono disconnessi) dalla creazione del file. Puoi specificare i nomi di utenti e TTY per mostrare solo le informazioni per quelle voci.
Puoi utilizzare opzioni come -n (dove n è il numero di righe da visualizzare), -a (visualizza il nome host nell'ultima colonna) e -x (visualizza voci di arresto del sistema e modifiche a livello di esecuzione).
Ad esempio, l'immissione di last -ax restituisce informazioni simili alle seguenti:
# last -ax user pts/0 Sun Dec 17 00:05 still logged in runlevel (to lvl 3) Sun Dec 17 00:04 - 00:09 (00:05) 3.10.0-693.11.1.el7.x86_64 reboot system boot Sun Dec 17 00:03 - 00:09 (00:05) 3.10.0-693.11.1.el7.x86_64 shutdown system down Thu Dec 14 13:05 - 00:03 (2+10:58) 3.10.0-693.11.1.el7.x86_64 user pts/1 Thu Dec 14 11:05 - down (02:00) user pts/0 Thu Dec 14 09:58 - down (03:06)
ultimo registro
Il comando lastlog formatta e stampa il contenuto dell'ultimo file di log di accesso (/var/log/lastlog). Vengono visualizzati il nome di accesso, la porta e l'ora dell'ultimo accesso.
Immettendo il comando senza opzioni vengono visualizzate le voci ordinate per ID numerico. Puoi utilizzare opzioni come -u login_name (visualizza le informazioni solo per l'utente designato) e -h (visualizzare un messaggio di guida di una riga). Se un utente non ha mai effettuato l'accesso, viene visualizzato il messaggio **Non effettuato l'accesso** viene visualizzato al posto del porto e dell'ora. Ad esempio, l'immissione di lastlog restituisce informazioni simili alle seguenti:
# lastlog Username Port From Latest root pts/0 Sun Dec 17 00:05:43 -0500 2017 bin **Never logged in** daemon **Never logged in** adm **Never logged in** .... chrony **Never logged in** ec2-user **Never logged in** user pts/0 Sun Dec 17 00:05:35 -0500 2017