Auditando acesso de usuários no Linux

Publicado por rafael oliveira em 01/09/2016

[ Hits: 3.719 ]

 


Auditando acesso de usuários no Linux



Segue alguns comandos para análise da atividade de usuários no GNU/Linux.

Reporta logins recentes de usuários ou usuário específico:

# lastlog
lastlog -u nome_usuario OU lastlog

Exibe lista com últimos usuários que logaram no sistema:

# last
  • -R = não exibe endereço remoto;
  • -d = resolve endereço IP para nomes;
  • -i = resolve nomes para endereço IP;
  • -F = exibe mais detalhes sobre os logins.

Exibe usuários logados no sistema:

# who
root     pts/0        2016-08-07 09:58 (192.168.56.1)

Exibe usuários logados no sistema e o que estão fazendo:

# w
10:58:35  up     1:02,         2 users,  load average: 0,00,  0,01,  0,02
USER      TTY    FROM          [email protected]    IDLE          JCPU   PCPU   WHAT
root      pts/0  192.168.56.1  09:58     2.00s         0.39s  0.00s  w
rafael    pts/1  vbox          10:58     10.00s        0.04s  0.00s  top

Exibe processos de usuários/grupos ou usuário/grupo específico:

# ps
  • -l = exibe mais detalhes
  • -u = determinar usuário
  • -g = determinar grupo

# ps -l -y -u rafael
S  UID   PID   PPID  C  PRI  NI RSS   SZ WCHAN  TTY     TIME     CMD
S  1000  4709  4707  0  80   0  1840  17308 -   ?       00:00:00 sshd
S  1000  4710  4709  0  80   0  3240  5136 -    pts/1   00:00:00 bash
S  1000  4794  4710  0  80   0  1508  5795 -    pts/1   00:00:00 top

Exibe arquivos sendo utilizados por usuários ou usuário específico:

# lsof

Exemplo:

# lsof -u rafael
COMMAND  PID   USER    FD   TYPE   DEVICE SIZE/OFF   NODE    NAME
sshd     4709  rafael  cwd  DIR    8,1    4096       2       /
sshd     4709  rafael  rtd  DIR    8,1    4096       2       /
sshd     4709  rafael  txt  REG    8,1    521576     1060859 /usr/sbin/sshd

Procura e envia sinais a processos usando username, expressão regular, etc.:

# pkill

# pkill -KILL ---echo -u rafael (desconecta usuário "rafael" e exibe em stdout)

# pkill -KILL --echo -u rafael sshd (mata todos os processos de "rafael" que contenha a expressão sshd e exibe em stdout)

Outras dicas deste autor

openSUSE 13.1 em UEFI

Configurando parâmetros ajustáveis do sistema de arquivos ext*

Script de backup + envio de e-mail

Visão geral do Nmap

Leitura recomendada

Softwares com falhas? Fique ligado sysadmin!

Incremente a segurança do BIND (DNS)

Desabilitando respostas a comandos ping

Criador de perfil falso

Aumentando o nível de segurança em senha

  

Comentários

Nenhum comentário foi encontrado.



Contribuir com comentário