Auditando acesso de usuários no Linux

Publicado por rafael oliveira em 01/09/2016

[ Hits: 4.454 ]

 


Auditando acesso de usuários no Linux



Segue alguns comandos para análise da atividade de usuários no GNU/Linux.

Reporta logins recentes de usuários ou usuário específico:

# lastlog
lastlog -u nome_usuario OU lastlog

Exibe lista com últimos usuários que logaram no sistema:

# last
  • -R = não exibe endereço remoto;
  • -d = resolve endereço IP para nomes;
  • -i = resolve nomes para endereço IP;
  • -F = exibe mais detalhes sobre os logins.

Exibe usuários logados no sistema:

# who
root     pts/0        2016-08-07 09:58 (192.168.56.1)

Exibe usuários logados no sistema e o que estão fazendo:

# w
10:58:35  up     1:02,         2 users,  load average: 0,00,  0,01,  0,02
USER      TTY    FROM          LOGIN@    IDLE          JCPU   PCPU   WHAT
root      pts/0  192.168.56.1  09:58     2.00s         0.39s  0.00s  w
rafael    pts/1  vbox          10:58     10.00s        0.04s  0.00s  top

Exibe processos de usuários/grupos ou usuário/grupo específico:

# ps
  • -l = exibe mais detalhes
  • -u = determinar usuário
  • -g = determinar grupo

# ps -l -y -u rafael
S  UID   PID   PPID  C  PRI  NI RSS   SZ WCHAN  TTY     TIME     CMD
S  1000  4709  4707  0  80   0  1840  17308 -   ?       00:00:00 sshd
S  1000  4710  4709  0  80   0  3240  5136 -    pts/1   00:00:00 bash
S  1000  4794  4710  0  80   0  1508  5795 -    pts/1   00:00:00 top

Exibe arquivos sendo utilizados por usuários ou usuário específico:

# lsof

Exemplo:

# lsof -u rafael
COMMAND  PID   USER    FD   TYPE   DEVICE SIZE/OFF   NODE    NAME
sshd     4709  rafael  cwd  DIR    8,1    4096       2       /
sshd     4709  rafael  rtd  DIR    8,1    4096       2       /
sshd     4709  rafael  txt  REG    8,1    521576     1060859 /usr/sbin/sshd

Procura e envia sinais a processos usando username, expressão regular, etc.:

# pkill

# pkill -KILL ---echo -u rafael (desconecta usuário "rafael" e exibe em stdout)

# pkill -KILL --echo -u rafael sshd (mata todos os processos de "rafael" que contenha a expressão sshd e exibe em stdout)

Outras dicas deste autor

openSUSE 13.1 em UEFI

Visão geral do Nmap

Configurando parâmetros ajustáveis do sistema de arquivos ext*

Script de backup + envio de e-mail

Leitura recomendada

BIND: Ataque pode causar Negação de Serviço através do Dynamic Update

Auditando usuários com PAM usando o Aureport do Audit

Impedindo usuário de logar

Criando volumes criptografados

Vídeo Aulas sobre Redes

  

Comentários

Nenhum comentário foi encontrado.



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts