Eine der wichtigsten Aufgaben, die Sie als Systemadministrator haben, besteht darin, Ihr System auf verdächtige Aktivitäten zu überwachen, die auf eine Sicherheitsgefährdung hindeuten, und darauf zu reagieren. Sie sollten die Anmeldeaktivitäten auf Anzeichen einer Sicherheitsverletzung untersuchen, z. B. mehrere fehlgeschlagene Anmeldungen.
HINWEIS :Das Überprüfen von Dateien wie /var/log/messages kann Ihnen auch Informationen über Anmeldeaktivitäten liefern.Um die Anmeldeaktivitäten zu überwachen, können Sie die folgenden Befehle verwenden:
wer
Der Who-Befehl Zeigt an, wer gerade am System angemeldet ist und Informationen wie den Zeitpunkt der letzten Anmeldung. Sie können Optionen wie
-H verwenden (Spaltenüberschriften anzeigen)
-r (aktueller Runlevel)
-a (zeigen Sie Informationen an, die von den meisten Optionen bereitgestellt werden).
Wenn Sie beispielsweise who -H eingeben, werden ähnliche Informationen wie die folgenden zurückgegeben:
# who -H NAME LINE TIME COMMENT user pts/0 2017-12-14 09:58
In ähnlicher Weise zeigt der Befehl „who -a“ die Ausgabe wie unten gezeigt an.
# who -a
system boot 2017-12-14 09:51
LOGIN ttyS0 2017-12-14 09:52 1103 id=tyS0
LOGIN tty1 2017-12-14 09:52 1102 id=tty1
run-level 3 2017-12-14 09:53
user + pts/0 2017-12-14 09:58 . 1164 mit
Das „w ‘ Befehl Zeigt Informationen über die Benutzer, die sich derzeit auf dem Computer befinden, und ihre Prozesse an. Die erste Zeile enthält Informationen zur aktuellen Uhrzeit, wie lange das System läuft, wie viele Benutzer derzeit angemeldet sind und die durchschnittliche Systemlast der letzten 1, 5 und 15 Minuten.
Unterhalb der ersten Zeile befindet sich ein Eintrag für jeden Benutzer, der den Anmeldenamen, den TTY-Namen, den Remote-Host, die Anmeldezeit, die Leerlaufzeit, die JCPU, die PCPU und die Befehlszeile des aktuellen Prozesses des Benutzers anzeigt. Unten sehen Sie eine Beispielausgabe des w-Befehls.
# w 11:05:37 up 1:14, 2 users, load average: 0.00, 0.01, 0.05 USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT user pts/0 09:58 1:04m 0.38s 1.74s login -- user user pts/1 11:05 1.00s 0.03s 0.15s login -- user
Die JCPU-Zeit ist die Zeit, die von allen mit dem tty verbundenen Prozessen verwendet wird. Vergangene Hintergrundjobs sind nicht enthalten, aber derzeit ausgeführte Hintergrundjobs. Die PCPU-Zeit ist die vom aktuellen Prozess verbrauchte Zeit, die im What-Feld angegeben ist. Sie können Optionen wie -h (Kopfzeile nicht anzeigen), -s (Anmeldezeit, JCPU und PCPU nicht anzeigen) und -V (Versionsinformationen anzeigen) verwenden.
Finger
Der Fingerbefehl zeigt Informationen über lokale und entfernte Systembenutzer an. Standardmäßig werden die folgenden Informationen zu jedem Benutzer angezeigt, der derzeit beim lokalen Host angemeldet ist:
1. Anmeldename des Benutzers
2. Vollständiger Name des Benutzers
3. Zugehöriger Terminalname
4. Leerlaufzeit
5. Anmeldezeit (und von wo)
Sie können Optionen wie -l (Langformat) verwenden und -s (kurzes Format) . Wenn Sie beispielsweise „finger -s“ eingeben, werden ähnliche Informationen wie die folgenden zurückgegeben:
# finger -s Login Name Tty Idle Login Time Office Office Phone Host user pts/0 1:18 Dec 14 09:58 user pts/1 Dec 14 11:05
# finger -l Login: user Name: Directory: /home/user Shell: /bin/bash On since Thu Dec 14 09:58 (EST) on pts/0 1 hour 18 minutes idle On since Thu Dec 14 11:05 (EST) on pts/1 1 second idle No mail. No Plan.
zuletzt
Der letzte Befehl zeigt eine Liste der Benutzer an, die sich seit /var/log/wtmp an- und abgemeldet haben Datei erstellt wurde. Der letzte Befehl durchsucht die Datei /var/log/wtmp (oder die durch -f bezeichnete Datei). Option) und zeigt eine Liste aller Benutzer an, die sich seit der Erstellung der Datei an- (und abgemeldet) haben. Sie können Namen von Benutzern und TTYs angeben, um nur Informationen für diese Einträge anzuzeigen.
Sie können Optionen wie -n (wobei n die Anzahl der anzuzeigenden Zeilen ist), -a (den Hostnamen in der letzten Spalte anzeigen) und -x (Anzeigen von Einträgen zum Herunterfahren des Systems und Runlevel-Änderungen) verwenden.
Beispielsweise gibt die Eingabe von last -ax Informationen ähnlich der folgenden zurück:
# last -ax user pts/0 Sun Dec 17 00:05 still logged in runlevel (to lvl 3) Sun Dec 17 00:04 - 00:09 (00:05) 3.10.0-693.11.1.el7.x86_64 reboot system boot Sun Dec 17 00:03 - 00:09 (00:05) 3.10.0-693.11.1.el7.x86_64 shutdown system down Thu Dec 14 13:05 - 00:03 (2+10:58) 3.10.0-693.11.1.el7.x86_64 user pts/1 Thu Dec 14 11:05 - down (02:00) user pts/0 Thu Dec 14 09:58 - down (03:06)
letztes Protokoll
Der Befehl lastlog formatiert und druckt den Inhalt der letzten Anmeldeprotokolldatei (/var/log/lastlog). Der Anmeldename, der Port und die letzte Anmeldezeit werden angezeigt.
Die Eingabe des Befehls ohne Optionen zeigt die Einträge nach numerischer ID sortiert an. Sie können Optionen wie -u Anmeldename verwenden (Informationen nur für bestimmte Benutzer anzeigen) und -h (Anzeige einer einzeiligen Hilfemeldung). Wenn sich ein Benutzer noch nie angemeldet hat, wird die Meldung **Nie angemeldet** angezeigt wird anstelle von Hafen und Zeit angezeigt. Beispielsweise gibt die Eingabe von lastlog Informationen ähnlich der folgenden zurück:
# lastlog Username Port From Latest root pts/0 Sun Dec 17 00:05:43 -0500 2017 bin **Never logged in** daemon **Never logged in** adm **Never logged in** .... chrony **Never logged in** ec2-user **Never logged in** user pts/0 Sun Dec 17 00:05:35 -0500 2017