Czy mogę wiedzieć, co zrobili inni, logując się przez ssh i co robią na moim Linuksie?

1

Czy jako użytkownik root mogę wiedzieć, co zrobili inni użytkownicy ssh-login i co robią na moim Linuxie?

Lee
źródło

Odpowiedzi:

1

Możesz użyć who (lub w ), aby zobaczyć, kto jest aktualnie zalogowany. Możesz użyć last polecenie, aby zobaczyć historię osób, które zalogowały się ostatnio w twoim pudełku (nawet te, które nie są już zalogowane).

Jeśli nic nie widzisz w obu powyższych poleceniach, oznacza to, że ktoś z uprawnieniami roota wyczyścił historię.

Jednak nie możesz wiedzieć, co ktoś robi w tej chwili . Możesz zobaczyć ich .bash_history (zakładając, że używają pliku bash) i zobacz swoje ostatnie polecenia. Zauważ, że znajdziesz tu tylko polecenia, które użytkownik uruchomi, jeśli wylogują się z powłoki.

nKn
źródło
who wyprowadza niektóre linie jako user pts/NUM DATE TIME (:0.0) . W przypadku niektórych linii nie jest to (: 0.0), ale (adres IP). Czy (: 0.0) znaczy martwy?
Lee
1
Nie, to są ekrany. Zasadniczo oznacza to, że ktoś jest związany z jakimś mechanizmem, który Linux rozumie jako fizyczny login. Mogą to być: Dostęp fizyczny z klawiaturą podłączoną do skrzynki, usługa taka jak iLO/DRAC co daje użytkownikowi sposób na interakcję z pudełkiem, tak jak fizycznie, itp.
nKn
OMG, widziałem wiele połączeń w nieoczekiwanym czasie (wymienione przez w.)
Lee
Jeśli nadal są, zabij ich wszystkich, jak odpowiedziałem w innym pytaniu i zmień hasło NAJSZYBCIEJ.
nKn
Więc jeśli mam to, co masz na myśli display:0.0, są to lokalne połączenia i nie muszę się martwić.
Lee
1

w jest odpowiedzią. A jeśli chcesz zobaczyć historię komend, zawsze możesz sprawdzić ich historię ~/.bash_history pliki.

Przykład w:

$w
 17:13:38 up 1 day,  3:45,  3 users,  load average: 1.57, 1.24, 1.02
USER     TTY        LOGIN@   IDLE   JCPU   PCPU WHAT
claudio  :0        Tue13   ?xdm?   5:42m  0.40s gnome-session
claudio  pts/0     Tue14   24:04m  0.20s  0.20s bash
claudio  pts/1     Tue15    0.00s  0.08s  0.00s w
SOMN
źródło