Sådan overvåges Linux-kommandoer, der udføres af systembrugere i realtid
Er du en Linux-systemadministrator og vil overvåge interaktiv aktivitet for alle systembrugere (Linux-kommandoer, de udfører) i realtid. I denne korte Linux-systemsikkerhedsvejledning vil vi forklare, hvordan du får vist alle Linux-shell-kommandoer, der udføres af systembrugere i realtid.
Hvis dit system har bash, gemmes den mest anvendte shell derude, så alle kommandoer, der udføres af normale systembrugere, gemmes i den .bash_history
skjulte fil, der opbevares i hver brugers hjemmekatalog. Indholdet af denne fil kan ses af brugerne ved hjælp af kommandoen historie.
For at se en bruger aaronkiliks .bash_history
-fil skal du skrive:
# cat /home/aaronkilik/.bash_history
Fra ovenstående skærmbillede vises ikke datoen og klokkeslættet, hvor en kommando blev udført. Dette er standardindstillingen for de fleste, hvis ikke alle Linux-distributioner.
Du kan følge denne vejledning for at indstille dato og klokkeslæt for hver kommando i bash_history-fil.
Overvåg brugeraktivitet i realtid ved hjælp af Sysdig i Linux
For at få et glimt af, hvad brugerne laver på systemet, kan du bruge kommandoen w
som følger.
# w
Men for at få en realtidsvisning af shell-kommandoer, der køres af en anden bruger, der er logget ind via en terminal eller SSH, kan du bruge Sysdig-værktøjet i Linux.
Sydig er et open-source, platform, kraftfuldt og fleksibelt systemovervågnings-, analyse- og fejlfindingsværktøj til Linux. Det kan bruges til systemforskning og fejlretning.
Når du har installeret sysdig, skal du bruge mejslen spy_users
til at spionere på brugere ved at køre kommandoen nedenfor.
# sysdig -c spy_users
Ovenstående kommando viser hver kommando, som brugerne starter interaktivt, såvel som alle biblioteksbrugere besøger.
Det er alt, du kan også tjekke disse følgende relaterede artikler:
- 25 Hærdningssikkerhedstips til Linux-servere
- Lynis - Sikkerhedsrevision og scanningsværktøj til Linux-systemer
- 10 Nyttige open source-sikkerheds Firewalls til Linux-systemer
- En praktisk guide til Nmap (Network Security Scanner) i Linux
I denne systemsikkerhedsvejledning beskrev vi, hvordan man ser brugernes bash-historikfil, viser loggede brugere, og hvad de laver, og vi forklarede også, hvordan man kan se eller overvåge alle kommandoer, der udføres af systembrugere i realtid.
Hvis du vil dele andre metoder eller stille spørgsmål, bedes du gøre det via kommentarfeltet nedenfor.