Kuinka seurata järjestelmän käyttäjien suorittamia Linux-komentoja reaaliajassa

Oletko Linux-järjestelmänvalvoja ja haluatko seurata kaikkien järjestelmän käyttäjien vuorovaikutteista toimintaa (heidän suorittamiaan Linux-komentoja) reaaliajassa. Tässä lyhyessä Linux-järjestelmän tietoturvaoppaassa kerromme, kuinka tarkastella kaikkia järjestelmän käyttäjien suorittamia Linux-komentoja reaaliajassa.

Jos järjestelmässäsi on bash, siellä yleisimmin käytetty kuori, kaikki normaalien järjestelmän käyttäjien suorittamat komennot tallennetaan piilotettuun .bash_history -tiedostoon, joka on kunkin käyttäjän kotihakemistossa. Käyttäjät voivat tarkastella tämän tiedoston sisältöä Historia-komennolla.

Voit tarkastella käyttäjän aaronkilikin .bash_history -tiedostoa kirjoittamalla:

# cat /home/aaronkilik/.bash_history

Yllä olevassa kuvakaappauksessa komennon suorittamisen päivämäärää ja kellonaikaa ei näytetä. Tämä on oletusasetus useimmissa, ellei kaikissa Linux-jakeluissa.

Voit seurata tämän oppaan päivämäärää ja kellonaikaa jokaiselle komennolle bash_history-tiedostossa.

Seuraa käyttäjien toimintaa reaaliajassa käyttämällä Sysdigia Linuxissa

Saat käsityksen siitä, mitä käyttäjät tekevät järjestelmässä, käyttämällä w -komentoa seuraavasti.

# w

Mutta jos haluat reaaliaikaisen näkymän päätelaitteiden komennoista, joita toinen pääkäyttäjä kirjautuu sisään päätelaitteen tai SSH: n kautta, voit käyttää Sysdig-työkalua Linuxissa.

Sydig on avoimen lähdekoodin, alustojen välinen, tehokas ja joustava järjestelmänvalvonta-, analysointi- ja vianmääritystyökalu Linuxille. Sitä voidaan käyttää järjestelmän etsintään ja virheenkorjaukseen.

Kun olet asentanut sysdigin, vakoile käyttäjiä spy_users -taltalla suorittamalla alla oleva komento.

# sysdig -c spy_users

Yllä oleva komento näyttää jokaisen komennon, jonka käyttäjät käynnistävät vuorovaikutteisesti, sekä jokaisen hakemiston, jolla käyttäjät käyvät.

Siinä kaikki, voit myös tarkistaa nämä seuraavat aiheeseen liittyvät artikkelit:

  1. 25 Linux-palvelinten tietoturvavihjeitä
  2. Lynis - Tietoturvatarkastus- ja skannaustyökalu Linux-järjestelmille
  3. 10 hyödyllistä avoimen lähdekoodin suojauspalomuuria Linux-järjestelmille
  4. Käytännön opas Nmapiin (verkon suojauskanneri) Linuxissa

Tässä järjestelmän suojausoppaassa kuvattiin, kuinka tarkastellaan käyttäjien bash-historiatiedostoja, näytetään kirjautuneita käyttäjiä ja mitä he tekevät, ja selitimme myös, kuinka tarkastella tai seurata kaikkia järjestelmän käyttäjien suorittamia komentoja reaaliajassa.

Jos haluat jakaa muita menetelmiä tai esittää kysymyksiä, tee se alla olevan kommenttiosan kautta.