Как отслеживать команды Linux, выполняемые пользователями системы, в режиме реального времени
Вы системный администратор Linux и хотите отслеживать интерактивную активность всех пользователей системы (команды Linux, которые они выполняют) в режиме реального времени. В этом кратком руководстве по безопасности системы Linux мы объясним, как просматривать все команды оболочки Linux, выполняемые пользователями системы, в режиме реального времени.
Читайте также: как отслеживать активность пользователей с помощью инструментов psacct или acct
Если в вашей системе используется bash, наиболее часто используемая оболочка, то все команды, выполняемые обычными пользователями системы, будут храниться в скрытом файле .bash_history
, который хранится в папке каждого пользователя. домашний каталог. Содержимое этого файла пользователи могут просмотреть с помощью команды истории.
Чтобы просмотреть файл aaronkilik .bash_history
пользователя, введите:
cat /home/aaronkilik/.bash_history
На снимке экрана выше дата и время выполнения команды не показаны. Это настройка по умолчанию в большинстве, если не во всех, дистрибутивах Linux.
Вы можете следовать этому руководству, чтобы установить дату и время для каждой команды в файле bash_history.
Мониторинг активности пользователей в режиме реального времени с помощью Sysdig в Linux
Чтобы получить представление о том, что пользователи делают в системе, вы можете использовать команду w
следующим образом.
w
Но чтобы в реальном времени просмотреть команды оболочки, выполняемые другим пользователем, вошедшим в систему через терминал или SSH, вы можете использовать инструмент Sysdig в Linux.
Sydig — это кроссплатформенный, мощный и гибкий инструмент с открытым исходным кодом для мониторинга, анализа и устранения неполадок системы для Linux. Его можно использовать для исследования и отладки системы.
После установки sysdig используйте инструмент spy_users
, чтобы шпионить за пользователями, выполнив приведенную ниже команду.
sysdig -c spy_users
Приведенная выше команда отображает каждую команду, которую пользователи запускают в интерактивном режиме, а также каждый посещаемый ими каталог.
Вот и все, вы также можете ознакомиться со следующими статьями по теме:
- 25 советов по усилению безопасности серверов Linux
- Lynis — инструмент аудита и сканирования безопасности для систем Linux
- 10 полезных брандмауэров безопасности с открытым исходным кодом для систем Linux
- Практическое руководство по Nmap (сканер сетевой безопасности) в Linux
В этом руководстве по безопасности системы мы описали, как просматривать файл истории bash пользователей, показывать вошедших в систему пользователей и то, что они делают, а также объяснили, как просматривать или отслеживать все команды, выполняемые пользователями системы, в режиме реального времени.
Если вы хотите поделиться какими-либо другими методами или задать вопросы, сделайте это в разделе комментариев ниже.