Проверка активности пользователей

Звезда не активнаЗвезда не активнаЗвезда не активнаЗвезда не активнаЗвезда не активна
 

Проверка активности пользователей Подозрительная активность пользователей (непривычное время дня или незнакомая удаленная система) может быть признаком того, что злоумышленники пытаются получить доступ к вашей системе. Мы уже познакомились с командой who, перечисляющей пользователей, работающих в данный момент в системе. Чтобы выяснить, кто работал в системе ранее, используйте команду last.

Команда last отображает содержимое файла wtmp.1 Она полезна для создания картины нормальной активности пользователей и вычисления отклонений. Файл wtmp хранит историю обращений пользователей к системе - в частности время входа в систему, координаты удаленной системы, а также время завершения сеанса работы.

На рис. 12.3 представлена одна строка вывода команды last. Строка содержит поля, определяющие имя пользователя, координаты удаленной систе мы, с которой подключался пользователь (при необходимости), устройство терминала, день, дату и время начала входа в систему, время завершения се анса работы (при необходимости) и общую длительность сеанса работы.

Рис. 12.3. Вывод команды last

Если набрать просто last, мы получим весьма объемный вывод, поскольку команда отобразит все записи из файла wtmp. Чтобы ограничить вывод, укажите в командной строке имя пользователя или устройство терминала, для которого необходимо получить сведения. Кроме того, можно использовать grep для фильтрации вывода last по определенным условиям. Например, следующая команда выводит сеансы работы, происходившие в субботу и воскресенье:

# last | grep -
S[au]' | mor e 
craig console :0 Sun Dec 15 10:33 stil l logged in 
reboot system boot Sat Dec 14 18:12 
root console Sat Dec 14 18:14 
craig pts/5 jerboas Sat Dec 14 17:11 - 17:43 (00:32) 
craig pts/2 172.16.12.24 Sun Dec 8 21:47 - 21:52 (00:05)

--More--

B следующем примере происходит поиск root-сеансов, проводившихся не с консоли системы. Если неизвестно, кто работал в перечисленных сеансах, у вас должны возникнуть соответствующие подозрения:

Команда last является серьезным источником сведений по активности пользователей. Подозрительными являются сеансы работы, происходящие в непривычное время либо с незнакомых удаленных систем. Удаленные root-ceансы должны быть запрещены явным образом. Используйте команду last для обнаружения подобных проблем.

Сообщайте о любых проблемах безопасности, которые обнаружите или хотя бы заподозрите. Не стоит стесняться сообщать о проблеме, даже если тревога может оказаться ложной. Не стоит молчать, потому что «вину» за нарушение безопасности могут возложить на вас. Ваше молчание лишь поможет злоумышленнику.


Обмениваться, хранить, передавать Ваши файлы стало просто как никогда.
yandex-disk
Читать подробнее: для чего Yandex-Диск проекту Mini-Server. Практика установки, настройки и использования сетевого хранилища на Ubuntu server LTS 12.04 в статье Резервное копирование сервера Ubuntu на Яндекс Диск.

>> Ubuntu 12.04 + Nginx Скачать сервер
>> Fedora 15 Скачать сервер
>> Простой Debian 6.0.6 Скачать сервер
>> CentOS 6.0 и
+ (5.6) другой
Скачать сервер
>> OpenSUSE 11.4
MAX
Скачать сервер

Вход на сайт

ВНИМАНИЕ!

Регистрация на сайте только по согласованию с администратором ресурса. Обращаться через форму обратной связи.