Проверка активности пользователей Подозрительная активность пользователей (непривычное время дня или незнакомая удаленная система) может быть признаком того, что злоумышленники пытаются получить доступ к вашей системе. Мы уже познакомились с командой who, перечисляющей пользователей, работающих в данный момент в системе. Чтобы выяснить, кто работал в системе ранее, используйте команду last.
Команда last отображает содержимое файла wtmp.1 Она полезна для создания картины нормальной активности пользователей и вычисления отклонений. Файл wtmp хранит историю обращений пользователей к системе - в частности время входа в систему, координаты удаленной системы, а также время завершения сеанса работы.
На рис. 12.3 представлена одна строка вывода команды last. Строка содержит поля, определяющие имя пользователя, координаты удаленной систе мы, с которой подключался пользователь (при необходимости), устройство терминала, день, дату и время начала входа в систему, время завершения се анса работы (при необходимости) и общую длительность сеанса работы.
Рис. 12.3. Вывод команды last
Если набрать просто last, мы получим весьма объемный вывод, поскольку команда отобразит все записи из файла wtmp. Чтобы ограничить вывод, укажите в командной строке имя пользователя или устройство терминала, для которого необходимо получить сведения. Кроме того, можно использовать grep для фильтрации вывода last по определенным условиям. Например, следующая команда выводит сеансы работы, происходившие в субботу и воскресенье:
# last | grep - S[au]' | mor e craig console :0 Sun Dec 15 10:33 stil l logged in reboot system boot Sat Dec 14 18:12 root console Sat Dec 14 18:14 craig pts/5 jerboas Sat Dec 14 17:11 - 17:43 (00:32) craig pts/2 172.16.12.24 Sun Dec 8 21:47 - 21:52 (00:05)
--More--
B следующем примере происходит поиск root-сеансов, проводившихся не с консоли системы. Если неизвестно, кто работал в перечисленных сеансах, у вас должны возникнуть соответствующие подозрения:
Команда last является серьезным источником сведений по активности пользователей. Подозрительными являются сеансы работы, происходящие в непривычное время либо с незнакомых удаленных систем. Удаленные root-ceансы должны быть запрещены явным образом. Используйте команду last для обнаружения подобных проблем.
Сообщайте о любых проблемах безопасности, которые обнаружите или хотя бы заподозрите. Не стоит стесняться сообщать о проблеме, даже если тревога может оказаться ложной. Не стоит молчать, потому что «вину» за нарушение безопасности могут возложить на вас. Ваше молчание лишь поможет злоумышленнику.
