Как я могу отследить кто SSH'es в мою машину Linux?

http://menehune.opt.wfu.edu/Kokua/Irix_6.5.21_doc_cd/usr/share/Insight/library/SGI_bookshelves/SGI_Developer/books/XLib_WinSys/sgi_html/ch08.html

#override объединяет переводы с существующим переводом, переопределяя любой тот конфликт, по сравнению с #augment который также объединяется, но существующие переводы, что конфликт имеет приоритет.

23
07.10.2016, 12:12
5 ответов

Информация того, кто вошел в систему, когда доступно в /var/log/auth.log (или другие файлы журнала на других дистрибутивах). Существует несколько программ мониторинга журнала, которые могут извлечь информацию, которую Вы настраиваете как релевантные. В любой нормальной системе зарегистрирована каждая аутентификация пользователя.

Для входа каждого вызова команды (но не их аргументы) используйте учет процесса, обеспеченный acct пакет Install acct на Ubuntu. Если бухгалтерская подсистема в порядке, то lastcomm информация о шоу о законченных процессах.

21
27.01.2020, 19:42
  • 1
    /var/log/secure.log является другим общим файлом журнала –  Adrian Cornish 13.12.2011, 06:38

Можно также использовать who или w видеть, в кого в настоящее время входят система, включая пользователей SSH.

9
27.01.2020, 19:42
  • 1
    last мог бы быть более оптимальный вариант для того, что OP искал... –  jasonwryan 13.12.2011, 08:11
  • 2
    действительно. "в последний раз" команда, которую Вы хотите. –  Sirex 13.12.2011, 11:14
  • 3
    Это - НАМНОГО лучший ответ затем выбранный. –  PaulBGD 19.06.2014, 02:17

Обычно, когда кто-то входит в систему пользователя, в / var / log / messages он печатается как:

sshd[18468]: Accepted keyboard-interactive/pam for root from 134.64.66.666 port 49867 ssh2

Так что просто введите сообщения с помощью команды grep как:

grep -E "Accepted keyboard-interactive/pam for" /var/log/messages
0
27.01.2020, 19:42

Вы также можете изменить оболочку bash для выполнения какой-то rsylog.

Фактически, вы настраиваете rsyslog на удаленном хосте для приема определенных подключений. Затем измените оболочку хоста, на которой вы хотите отслеживать, - скомпилировав свою версию с той, в которой включены следующие параметры:

vi config-top.h
#define SYSLOG_HISTORY
#if defined (SYSLOG_HISTORY)
#  define SYSLOG_FACILITY LOG_USER
#  define SYSLOG_LEVEL LOG_INFO
#endif

После компиляции с включенной этой версией вы можете заменить bash этой версией ИЛИ разрешить пользователям войти в эту версию с помощью перенаправляя на него свои логины.

Для получения дополнительной информации:

https://www.pacificsimplicity.ca/blog/remote-logging-using-syslog-and-logging-shell-commands-remotely

0
27.01.2020, 19:42

Вы также можете попробовать ввести команду lastв консоль, которая отображает все последние входы в систему -, включая имя пользователя, под которым они вошли в систему под (, но не записывает, изменили ли они свое имя пользователя после входа в систему. в ), IP, дата и продолжительность входа в систему.

Эта команда была упомянута @jasonwryan в комментарии здесь.

1
25.05.2020, 15:14

Теги

Похожие вопросы