Если вы системный администратор, вы в любой момент времени можете захотеть узнать кто залогинен на вашем Linux сервере. Несомневаюсь что вам известен способ, который позволяет вам узнать это, но знаете ли вы все их и используете самый удобный? В этой статье мы рассмотрим 4 возможных способа.
1. Получаем список пользователей и команды, используемые ими с помощью команды w
Команда w используется для получения списка залогиненных пользователей и выполняемых ими команд. Вывод команды w содержит следующие колонки:[cut]
Дополнительно могут быть использованы следующие опции:
2. Получаем список пользователей с помощью команды who
Команда who используется для получения списка пользователей, залогиненных в системе. В выводе находятся следующие колонки: имя пользователя, номер tty, дата и время, адрес подключения.
Для получения отсортированного списка используем команду:
3. Узнаем под каким пользователем залогинены вы сами
Команда whoami сообщит вам информацию о том, под какой учетной записью вы залогинены в системе. Полезно использовать с похмелья
Квесты никогда делать не поздно
4. Смотрим историю подключений пользователя
Команда last покажет вам историю подключений для определенного пользователя. Если в качестве аргумента не указан логин какого либо пользователя, отобразится история для всех пользователей. Данная информация берется из файла /var/log/wtmp. В выводе присутствуют следующие колонки:
Постовой
Не хватает фантазии сочинить собственный текст, или просто нет времени? Вам определенно требуется копирайтер, который сделает для вас качественный уникальный материал.
Качественные объективы для фотоаппаратов. Практические все виды объективов по низким ценам.
Как посмотреть количество подключений к серверу
Посмотреть количество подключений на Linux VDS сервере можно в консоли при помощи системной утилиты netstat. Ниже представлены наиболее часто используемые варианты использования этой команды. Для получения полноценных результатов рекомендуется выполнять эти команды от имени пользователя root, либо от пользователя, который присутствует в списке sudoers на сервере.
Показать все активные сетевые соединения.
Показать и отсортировать все активные соединения на 80-м порту (порт http).
Показать число полуоткрытых соединений (которые в состоянии SYN RECEIVED). Нормальное количество соединений – до 5. Большие значения таких соединений на сервере могут предвещать наличие происходящей SYN-атаки.
Вывести отсортированный список IP-адресов, с которых пришли SYN-пакеты.
Вывести список уникальных IP-адресов, с которых пришли SYN-пакеты.
Вывести результат подсчета количества соединений к серверу с каждого IP-адреса.
Вывести результат подсчета количества соединений с сервером по TCP или UDP протоколам с каждого IP-адреса.
Вывести результат подсчета количества соединений c сервером с каждого IP-адреса, которые в статусе ESTABLISHED (установленные соединения).
Псевдо-вирус на python
Показать список IP-адресов и количество подключений с них к серверу через порт 80, который по умолчанию используется HTTP-протоколом.
Чтобы получить полную справку по использованию утилиты netstat, используйте в консоли команду:
Утилита ss в Linux
Иногда бывает необходимо посмотреть какие сетевые подключения Linux открыты, какие IP адреса используются или какие порты прослушиваются. Раньше для таких целей использовалась утилита netstat. Её, без сомнения, знают все системные администраторы и специалисты по безопасности. Но она больше не поставляется по умолчанию в новых дистрибутивах. Вместо неё используется новая утилита под названием ss.
Netstat сканирует директорию /proc для получения необходимой информации, но в новых версиях ядра была реализована специальная подсистема для мониторинга сети в Linux. Её и использует ss, с помощью этой утилиты вы можете получить больше информации о сетевых подключениях и работает она гораздо быстрее.
Общая информация
$ ss опции [ фильтр_состояния] [фильтр_адреса]
Для удобства вывод команды ss можно фильтровать с помощью grep:
$ ss опции | grep шаблон
Опции указывает различные параметры отображения и фильтрации информации. Фильтры по состоянию и адресу очень интересная вещь, они позволяют выполнять мониторинг сетевых подключений в Linux, только тех что нужно. Например, только открытых, закрытых или находящихся на этапе подключения. Подробнее мы рассмотрим это в конце статьи.
Опции утилиты ss
Для сетевых подключений в Linux с помощью утилиты ss можно использовать такие опции:
Кроме того, можно вывести сокеты только нужного протокола:
Примеры использования
А теперь давайте рассмотрим примеры использования утилиты ss Linux. Возможно, из описания опций вы мало что поняли, но с примерами все встанет на свои места.
Мониторинг сетевых подключений
Сначала смотрим все сетевые подключения:
Посмотрим только TCP соединения:
Теперь только Unix:
По умолчанию утилита не пытается определять имена хостов через dns, но можно ее попросить делать это опцией -r:
Обратная опция -n, не будет выполняться не только dns резолвинг, но и определение протоколов портов, зато мониторинг сети в Linux работать будет быстрее:
Теперь просмотрим только прослушиваемые tcp сокеты.
Здесь мы видим только имена служб, это не всегда удобно, указав опцию n, мы получим номера портов. Так же само можно посмотреть прослушиваемые udp сокеты:
Также мы можем попытаться узнать название и PID процесса, использующего сокет:
Просмотр статистики статистики сетевых подключений
Для просмотра статистики по использованию сетевых подключений наберите:
Фильтрация по протоколу
Как узнать сетевого пользователя открывшего файл?
Есть Windows Server 2003 используемый в качестве файлового хранилища в локальной сети. На сервере расшарены папки с файлами. Через команду net file можно узнать какие файлы открыты удаленно, но как узнать кто конкретно открыл/запустил файл и заблокировал его или с какого ip-адреса или машины? Т.к. данная команда выдает таблицу, где все пользователи как Гости.
Есть еще команда net session отображающая какие конкретно ip-адресса удаленно открыли файлы и их количество, но не отображает какие именно файлы открыты. То же самое можно увидеть через «Управление компьютером» в разделе «Служебные программы/Общие папки/Открытые файлы(Сеансы)» Есть ли способ или сторонняя программа позволяющая мониторить связку ip-адрес(имя локального компьютера) и открытый файл?
- Вопрос задан более трёх лет назад
- 6518 просмотров
Комментировать
Решения вопроса 0
Ответы на вопрос 1
Есть, но не про ваш случай.
В вашем случае ресурс ( принтер, файл, директория ) открывается именно пользователем, которому разрешено (или нет =) работать с ресурсом.
В более современных ОС семейства Windows Server вы можете настроить логирование ( какой пользователь обратился к ресурсу успешно и с какого адреса ), но в 2003, ЕМНИП, такого еще не было.
Ответ написан более трёх лет назад
Ну логирование это понятно, только не хочется держать и писать постоянно логи, при этом создавая дополнительную нагрузку на жесткий диск и уменьшать быстродействие и так не особо быстрой системы. Хотелось текущую ситуацию просто посмотреть при надобности. И логически должна быть связь между сессиями и открытыми файлами.
Ваш ответ на вопрос
Войдите, чтобы написать ответ
- Linux
- +2 ещё
Как поднять мобильный прокси на своей машине?
- 1 подписчик
- вчера
- 85 просмотров
Источник: qna.habr.com
Как определить, кто установил программу?
Мне нужно выяснить, кто установил определенную программу (Adobe Flash) на serverе.
Как я могу это сделать?
В зависимости от уровня ведения журнала вы можете просматривать журналы событий и viewеть, кто вызвал программу установки.
Фактически, я только что установил Adobe Reader на виртуальную машину по умолчанию 2008 R2, и обнаружил, что он записал пользователя, который установил программу. Вроде.
EventID 1040, Источник: MsiInstaller UserID: [GUID].
Сопоставьте этот GUID с пользователем, и вы золотой.
Если, конечно, вы находитесь в неудачной позиции, не имея такой записи в журнале, вам лучше всего пройти, и посмотреть, сможете ли вы определить, когда именно она была установлена, и сопоставить это с журналами событий безопасности, чтобы определить с которым в то time была интерактивная сессия inputа в систему.
Журналы установщика Adobe могут быть более полезными в сокращении точного времени установки, так как возможно, что ваш уровень ведения журнала даже не зарегистрировал установку приложения, отличного от MS, в Журналах событий. В любом случае, вероятно, это вопрос нахождения точного времени и прохождения журналов безопасности, чтобы определить, кто в течение этого времени имел открытый тип 2 или тип 10 .
Это действительно какая-то боль, и если вы тот, кто будет отстранен от регистрации в дайвинге, может быть, это не ужасная идея, чтобы быстро сократить расходы и выгоды, насколько это будет стоить, чтобы выведать это [ не совсем окончательная] информация, потому что это не совсем курящее оружие. Это даст вам довольно сильный аргумент в пользу того, кто это сделал, но если у вас недостаточно высокий уровень ведения журнала, чтобы узнать, какой user вызвал установщик, это не будет считаться окончательным доказательством. (Или, по крайней мере, я никогда не viewел, чтобы так оно и было.)
Используя Event Viewer, вы можете отfilterовать Application log для ID events 11707 . Поиск по конкретной дате / времени, когда вы считаете, что программа установлена, и также будет указывать имя пользователя. Очень полезно, если вам нужно отслеживать, кто устанавливает что, когда.
Кроме того, вы можете отfilterовать Application log для events с кодом 11724 если вам нужно узнать, кто не установил приложение.
Информация, найденная на этом веб-websiteе .
Проверьте c: users \ downloads и в directoryах временных fileов пользователей для связанных с Adobe документов.
Источник: server.bilee.com