Вопросы Теги

Как Определить IP-адрес того, кто вошел в Корень?

Действительно ли возможно, что Вы используете DVD С 6 бетами RHEL в системе RHEL 6.0?

Похоже, что RHEL 6 всегда имел glibc 2.12, но бета-версия имела glibc 2.11. Я действительно не могу найти категорический источник, который говорит, что имел С 6 бетами, но найдите упоминания о 2,11 на С 6 бетами вокруг сети как здесь и здесь. Весь CentOS src.rpms для 6,0 к 6,3 является glic 2.12, таким образом, финальная версия всегда имела 2.12.

Действительно ли возможно, что Вы первоначально установили от DVD с 6 бетами, но обновили до более нового выпуска RHEL с тех пор? Если так, Вы действительно не можете использовать пакеты от более старого DVD RHEL. Если Вы просто пытаетесь установить gcc, можно работать yum install gcc получить GCC 4.4.x. В целом установка через конфетку предпочтена по DVD, так как конфетка автоматически выберет последний RPMs, тогда как DVD мог бы иметь более старую версию, которая имеет некоторые ошибки. Если Вы действительно захотите метод DVD, то необходимо будет получить DVD, который соответствует выпуску RHEL 6, который Вы установили.

cat /etc/redhat-release скажет Вам, какую версию RHEL Вы выполняете. Я предполагаю, что Вы находитесь на 6,0, так как версия glibc, в настоящее время устанавливаемого, с ноября 2010 (необходимо заглянуть к обновлению до 6,3 в какой-то момент). Что касается того, как сказать, каков версия DVD, я предполагаю, загружаетесь ли Вы от него, это скажет что бета RHEL 6 или что-то на экране-заставке. Возможно, прочитайте документы о DVD, чтобы видеть, ссылается ли он на то, чтобы быть бетой?

15
21.08.2014, 23:59
5 ответов

Команда 

who /var/log/wtmp

должна показывать информацию, например, что кто показывает, но возвращаясь назад во времени.

7
27.01.2020, 19:49

Нельзя разрешать людям использовать ssh, входя непосредственно от имени root (используя пароль root или сертификат в /root/.ssh/authorized_keys), если вы хотите провести аудит того, кто вошел в систему от имени root. Вместо этого используйте по одной учетной записи для каждого человека и позвольте им использовать sudo для получения прав root. Таким образом, вы найдете в соответствующем журнале (положение файла журнала зависит от того, какой у вас дистрибутив, вы даже можете настроить демона журнала на отправку сообщений на другую машину) сообщение user john выполнил команду 'sudo rm -rf /'. Ну, может быть, вам будет нелегко найти эту команду в логах.

7
27.01.2020, 19:49

Из предоставленного вами краткого описания кажется, что было бы лучше, если бы вы настроили систему мониторинга журналов. Это поможет вам отслеживать логины, создавать оповещения, сравнивать данные за несколько дней и да, конечно, графики для всего этого.

Но если вам нужно отслеживать его временно , вы можете использовать команду last . 

last | grep root | grep -v tty | awk '{print $3}'

Это даст вам список IP-адресов или имен хостов , откуда пользователь root вошел в систему.

0
27.01.2020, 19:49

Вы можете использовать команду last , чтобы получить эту информацию 

# last|head
phemmer  ssh          192.168.0.24     Wed Aug 20 21:08 - 21:08  (00:00)
phemmer  pts/13       192.168.0.2      Wed Aug 20 14:00 - 18:43  (04:43)
phemmer  ssh          192.168.0.2      Wed Aug 20 14:00 - 18:43  (04:43)
phemmer  ssh          ::1              Wed Aug 13 23:08 - 23:08  (00:00)
phemmer  ssh          ::1              Wed Aug 13 23:08 - 23:08  (00:00)
phemmer  ssh          ::1              Wed Aug 13 23:07 - 23:07  (00:00)
phemmer  pts/15       192.168.0.20     Thu Aug  7 19:00 - 19:00  (00:00)
phemmer  ssh          192.168.0.20     Thu Aug  7 19:00 - 19:00  (00:00)
phemmer  :0                            Wed Jul 30 20:06   still logged in
reboot   system boot  3.13.2-gentoo    Wed Jul 30 20:05   still running

Как вы можете видеть, в 3-м столбце будет показан удаленный IP-адрес в событие входа по SSH.

last использует файл / var / log / wtmp , поэтому этот метод аналогичен ответу G-Man (только немного проще, поскольку вам не нужно указывать путь к файл).

15
27.01.2020, 19:49

Это зависит от вашего распределения или ОС. Отказ SSHD будет где-нибудь войти в систему каждая логин и будет включать в себя соответствующий IP-адрес в вхожденном формате, как это: 

Aug 20 15:56:53 machine sshd[2728]: Accepted publickey for root from 192.168.1.2 port 49297

Эта часть соответствует, но как вы можете варьироваться. О системах, основанных на системе SystemD , используйте Journctctl : 

journalctl /usr/bin/sshd

, чтобы выделить все сообщения журнала из исполняемого исполняемого SSHD . Вы можете получить это для корневых логинов или других критериев, и ограничить его на дату с - с и - до (см. MAN DUNAUNTCTL ).

Альтернативно и исторически и исторически сообщения будут войти в систему (обычно) где-то в / var / log . Обычно SSHD сообщения входят в /var/log/auth.log , но точный файл может существенно варьироваться. Какой бы он ни был: 

grep sshd /var/log/auth.log

даст вам широко эквивалентное вывод на версию RUNECTCTLCTL .

14
27.01.2020, 19:49

Теги

Похожие вопросы