Как я могу проверить, успешно ли root-пользователь подключился к моему серверу по ssh?
vmlinux — это файл ELF, а не двоичный файл.
Сборка ядра может создавать zImage, то есть двоичный файл. Ты можешь найти это по адресу
$kernel/arch/arm/boot/zImageв случае ARM. Иметь ввиду что zImage представляет собой двоичный файл, сжатый zip, и заголовок прикреплен в верхней части zImage. С этим заголовком zImage может распаковывать сам.
Чтобы запустить zImage, вам нужно переместить pc (счетчик программ) в первую точку zImage.
Возможно, последняя команда поможет вам составить список учетных записей root? В этом примере последняя команда показывает, что пользователь root вошел в систему с компьютера с IP-адресом 10.1.57.140, используя псевдотерминал 3 (pts/3) в среду, 11 января. убедительный признак того, что соединение было установлено с использованием SSH.
[root@server1 ~]# last
john.doe pts/0 server1.example.com Thu Jan 12 12:04 still logged in
root pts/3 10.1.57.140 Wed Jan 11 12:54 - 13:13 (00:19)
reboot system boot 3-10-0-327.e17.x Wed Jan 11 12:52 - 13:10 (00:01)
. . .
Добавить имя пользователя в шаблон grep?
# grep -e "Accepted .* for root " /var/log/auth.log
May 3 23:09:01 lumi sshd[21046]: Accepted publickey for root from 1.2.3.4 port 44308 ssh2
May 6 21:25:20 lumi sshd[6642]: Accepted publickey for root from 1.2.3.4 port 44556 ssh2
Или используйте last, который читается как /var/log/wtmp, который содержит журнал запущенных сессий. Обратите внимание, что неинтерактивные сеансы здесь не сохраняются.
# last root
root pts/38 somehost.somewhere Sat May 6 21:25 still logged in
root pts/3 somehost.somewhere Wed May 3 23:09 - 23:09 (00:00)
По крайней мере, расположение этих журналов может зависеть от системы/дистрибутива.
Однако, поскольку мы говорим о входе в систему root, было бы неплохо отметить, что любой пользователь с правами root может редактировать журналы, чтобы скрыть свои входы в систему, поэтому, если вы делаете это для аудита, вы должны вести журнал во внешней системе.