Jedním z nejdůležitějších úkolů, které máte jako správce systému, je monitorovat váš systém, zda nevykazuje jakoukoli podezřelou aktivitu, která by mohla naznačovat ohrožení zabezpečení, a jednat podle toho. Měli byste vyhodnotit aktivitu přihlášení, zda nevykazuje známky narušení zabezpečení, jako je například vícenásobné neúspěšné přihlášení.
POZNÁMKA :Informace o aktivitě přihlášení vám může poskytnout také kontrola souborů, jako je /var/log/messages.Ke sledování aktivity přihlášení můžete použít následující příkazy:
kdo
Příkaz who Zobrazuje, kdo je aktuálně přihlášen do systému a informace, jako je čas posledního přihlášení. Můžete použít možnosti jako
-H (zobrazit záhlaví sloupců)
-r (aktuální úroveň běhu)
-a (zobrazit informace poskytované většinou možností).
Například zadání who -H vrátí informace podobné následujícím:
# who -H NAME LINE TIME COMMENT user pts/0 2017-12-14 09:58
Podobně příkaz „who -a“ zobrazí výstup, jak je uvedeno níže.
# who -a
system boot 2017-12-14 09:51
LOGIN ttyS0 2017-12-14 09:52 1103 id=tyS0
LOGIN tty1 2017-12-14 09:52 1102 id=tty1
run-level 3 2017-12-14 09:53
user + pts/0 2017-12-14 09:58 . 1164 w
„w ‘ příkaz Zobrazuje informace o uživatelích, kteří jsou aktuálně na stroji, a jejich procesech. První řádek obsahuje informace o aktuálním čase, jak dlouho systém běží, kolik uživatelů je aktuálně přihlášeno a průměrné zatížení systému za posledních 1, 5 a 15 minut.
Pod prvním řádkem je položka pro každého uživatele, která zobrazuje přihlašovací jméno, název TTY, vzdálený hostitel, dobu přihlášení, dobu nečinnosti, JCPU, PCPU a příkazový řádek aktuálního procesu uživatele. Níže je ukázkový výstup příkazu w.
# w 11:05:37 up 1:14, 2 users, load average: 0.00, 0.01, 0.05 USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT user pts/0 09:58 1:04m 0.38s 1.74s login -- user user pts/1 11:05 1.00s 0.03s 0.15s login -- user
Čas JCPU je čas používaný všemi procesy připojenými k tty. Nezahrnuje minulé úlohy na pozadí, ale zahrnuje aktuálně běžící úlohy na pozadí. Čas PCPU je čas používaný aktuálním procesem, který je pojmenován v
pole What. Můžete použít volby jako -h (nezobrazovat záhlaví), -s (nezobrazovat čas přihlášení, JCPU a PCPU) a -V (zobrazit informace o verzi).
prst
Příkaz finger zobrazuje informace o místních a vzdálených systémových uživatelích. Ve výchozím nastavení se o každém uživateli aktuálně přihlášeném k místnímu hostiteli zobrazují následující informace:
1. Přihlašovací jméno uživatele
2. Celé jméno uživatele
3. Přidružený název terminálu
4. Doba nečinnosti
5. Čas přihlášení (a odkud)
Můžete použít možnosti jako -l (dlouhý formát) a -s (krátký formát) . Například zadání „finger -s“ vrátí informace podobné následujícím:
# finger -s Login Name Tty Idle Login Time Office Office Phone Host user pts/0 1:18 Dec 14 09:58 user pts/1 Dec 14 11:05
# finger -l Login: user Name: Directory: /home/user Shell: /bin/bash On since Thu Dec 14 09:58 (EST) on pts/0 1 hour 18 minutes idle On since Thu Dec 14 11:05 (EST) on pts/1 1 second idle No mail. No Plan.
poslední
Poslední příkaz zobrazí seznam uživatelů, kteří se přihlásili a odhlásili od /var/log/wtmp soubor byl vytvořen. Poslední příkaz prohledává zpět soubor /var/log/wtmp (nebo soubor označený -f volba) a zobrazí seznam všech uživatelů, kteří se přihlásili (a odhlásili) od vytvoření souboru. Můžete zadat jména uživatelů a TTY, aby se zobrazovaly pouze informace pro tyto položky.
Můžete použít volby jako -n (kde n je počet řádků k zobrazení), -a (zobrazení názvu hostitele v posledním sloupci) a -x (zobrazení položek pro vypnutí systému a změny úrovně běhu).
Například zadání posledního -ax vrátí informace podobné následujícímu:
# last -ax user pts/0 Sun Dec 17 00:05 still logged in runlevel (to lvl 3) Sun Dec 17 00:04 - 00:09 (00:05) 3.10.0-693.11.1.el7.x86_64 reboot system boot Sun Dec 17 00:03 - 00:09 (00:05) 3.10.0-693.11.1.el7.x86_64 shutdown system down Thu Dec 14 13:05 - 00:03 (2+10:58) 3.10.0-693.11.1.el7.x86_64 user pts/1 Thu Dec 14 11:05 - down (02:00) user pts/0 Thu Dec 14 09:58 - down (03:06)
poslední protokol
Příkaz lastlog zformátuje a vytiskne obsah souboru protokolu posledního přihlášení (/var/log/lastlog). Zobrazí se přihlašovací jméno, port a čas posledního přihlášení.
Zadáním příkazu bez voleb se zobrazí položky seřazené podle číselného ID. Můžete použít možnosti jako -u přihlašovací_jméno (zobrazit informace pouze pro určeného uživatele) a -h (zobrazí jednořádkovou zprávu nápovědy). Pokud se uživatel nikdy nepřihlásil, zobrazí se zpráva **Nikdy se nepřihlásil** se zobrazí místo portu a času. Například zadání lastlog vrátí informace podobné následujícím:
# lastlog Username Port From Latest root pts/0 Sun Dec 17 00:05:43 -0500 2017 bin **Never logged in** daemon **Never logged in** adm **Never logged in** .... chrony **Never logged in** ec2-user **Never logged in** user pts/0 Sun Dec 17 00:05:35 -0500 2017