Jak sledovat aktivitu uživatele v Linuxu

Jako správce Linuxu musíte mít přehled o všech aktivitách uživatelů. Bude užitečné, když se na serveru něco pokazí. Můžete analyzovat a prozkoumat aktivity uživatelů a pokusit se najít hlavní příčinu problému. Existuje mnoho způsobů, jak monitorovat uživatele. V této příručce budeme hovořit o účetních nástrojích GNU které lze použít ke sledování aktivity uživatelů v Linuxu. Účtovací nástroje poskytují užitečné informace o využití systému, jako jsou připojení, spouštěné programy a využití systémových prostředků. Tyto účetní nástroje lze nainstalovat pomocí psacct nebo souhlasit balík. psacct nebo acct jsou totéž. V systémech založených na RPM je k dispozici jako psacct a v systémech založených na DEB je k dispozici jako acct.

Obecně platí, že podrobnosti historie příkazového řádku uživatele budou uloženy v .bash_history soubor v jejich adresáři $HOME. Někteří uživatelé se mohou pokusit upravit, upravit nebo smazat historii. Účetní nástroje však budou moci načíst aktivity uživatelů, i když vymazali historii příkazového řádku zcela. Protože všechny soubory účtování procesů jsou ve vlastnictví uživatele root a normální uživatelé je nemohou upravovat.

Nainstalujte psacct nebo acct

Na RHEL, CentOS, Fedora, Scientific Linux spusťte jako uživatel root následující příkaz pro instalaci psacct:

$ sudo yum nainstalovat psacct

Povolte a spusťte službu psacct pomocí příkazů:

$ sudo systemctl povolit psacct

$ sudo systemctl spustit psacct

V systémech Debian, Ubuntu nebo Linux Mint jej nainstalujte následovně.

$ sudo apt-get install act

Výše uvedený příkaz automaticky nainstaluje acct a spustí jeho službu.

Zda je spuštěn nebo ne, můžete ověřit pomocí příkazu:

$ sudo systemctl status actl

Sledování aktivity uživatele v systému Linux

Balíček psacct (procesní účtování) obsahuje následující užitečné nástroje pro monitorování aktivit uživatelů a procesů.

• ac – Zobrazuje statistiky o tom, jak dlouho byli uživatelé přihlášeni.
• lastcomm - Zobrazuje informace o dříve provedených příkazech.
• accton – Zapíná nebo vypíná účtování procesů.
• dump-acct - Transformuje výstupní soubor z formátu accton do formátu čitelného člověkem.
• dump-utmp - Tiskne soubory utmp ve formátu čitelném pro člověka.
• sa - Shrnuje informace o dříve provedených příkazech.

Podívejme se na jeden bye s příklady.

ac

ac nástroj zobrazí zprávu o době připojení v hodinách. Může vám sdělit, jak dlouho byl uživatel nebo skupina uživatelů připojena k systému.

$ ac

Tento příkaz zobrazuje celkovou dobu připojení všech uživatelů v hodinách.

celkem       30,62

Tento výsledek můžete seřadit podle dne pomocí -d příznak, jak je znázorněno níže.

$ ac -d

Ukázkový výstup:

24. listopadu celkem 0,81 dubna 12 celkem 0,01 června 20 celkem 9,27 června 30 celkem 0,23 března 11 celkem 5,34 března 16 celkem 0,70 března 21 celkem 9,55 března 23 celkem 1,77 Dnes celkem 3,03

Pomocí -p můžete také zobrazit, jak dlouho byl každý uživatel připojen k systému vlajka.

$ ac -p

Ukázkový výstup:

sk 0,03 root 30,73 celkem 30,76

A také můžete zobrazit celkový čas přihlášení jednotlivého uživatele.

$ ac sk

Ukázkový výstup:

celkem 0,03

Chcete-li zobrazit čas přihlášení jednotlivých uživatelů po dnech, spusťte:

$ ac -d root

Ukázkový výstup:

24. listopadu celkem 0,81 dubna 12 celkem 0,01 června 20 celkem 9,27 června celkem 0,23 března 11 celkem 5,34 března 16 celkem 0,70 března 21 celkem 9,55 března 23 celkem 1,77 Dnes celkem 3,41

Další podrobnosti naleznete na manuálových stránkách.

$ man ac

lastcomm

poslední comm zobrazí seznam dříve provedených příkazů. Jako první budou uvedeny naposledy provedené příkazy.

$ lastcomm

Ukázkový výstup:

sshd SF sshd __ 0,01 sekund Pá 24. března 15:09unix_chkpwd S root __ 0,00 sekund Pá 24. března 15:09unix_chkpwd S root __ 0,00 sekund Pá 24. března 15:05 Systém Sec -cgroups S kořen __ 0,00 sekund Pá 24. března 15:09sshd S kořenový adresář __ 0,06 sekund Pá 24. března 15:09sshd SF sk __ 0,06 sekund Pá 24. března 15:09bash sk 5 bodů/1 0,029 s 1 0,00 sekund Pá 24. března 15:09vi sk bodů/1 0,00 sekund Pá 24. března 15:09 kat sk bodů/1 0,00 sekund Pá 24. března 15:09bash F sk bodů/1 0,00 sekund Pá:1094 console 15. března 0,00 sekund Pá 24. března 15:09grep sk bodů/1 0,00 sekund Pá 24. března 15:09bash F sk bodů/1 0,00 sekund Pá 24. března 15:09

Výše uvedený příkaz zobrazí všechny uživatelské příkazy. Dříve provedené příkazy konkrétním uživatelem můžete zobrazit pomocí příkazu:

$ lastcomm sk

Ukázkový výstup:

sshd SF sk __ 0,06 sekund Pá 24. března 15:09bash sk bodů/1 0,00 sekund Pá 24. března 15:09clear sk bodů/1 0,00 sekund Pá 24. března 15:09vi sk bodů/1 14. března Pá 5:00 09kat sk bodů/1 0,00 sekund Pá 24. března 15:09bash F sk bodů/1 0,00 sekund Pá 24. března 15:09consoletype sk bodů/1 0,00 sekund Pá 24. března 15:09grep sk bodů/10.03. 

Můžete také zobrazit, kolikrát byl konkrétní příkaz proveden.

$ lastcomm vi

Ukázkový výstup:

vi sk pts/1 0,00 s Pá 24. března 15:09vi root pts/1 0,00 s Pá 24. března 15:03

Jak vidíte ve výše uvedeném výstupu, příkaz vi byl dvakrát proveden uživateli root a sk.

Další podrobnosti naleznete na manuálových stránkách.

$ man lastcomm

accton

Tento nástroj vám umožní zapnout nebo vypnout účetnictví.

Chcete-li zapnout účtování procesů, spusťte:

$ accton na

Chcete-li jej vypnout, spusťte:

Sleva $ accton

Další podrobnosti naleznete na manuálových stránkách.

$ man accton

dump-acct a dump-utmp

Dump-acct obslužný program zobrazí výstupní soubor z formátu accton do formátu čitelného člověkem.

$ dump-acct /var/account/pacct

dump-utmp zobrazuje soubory utmp ve formátu čitelném pro člověka.

$ dump-utmp /var/run/utmp

Další podrobnosti naleznete na manuálových stránkách.

$ man dump-acct

$ man dump-utmp

sa

Obslužný program sa shrnuje informace o dříve provedených příkazech.

$ sa

Ukázkový výstup:

$ sa -m

$ man sa