Поиск по сайту:

Как отслеживать команды Linux, выполняемые пользователями системы, в режиме реального времени

Вы системный администратор Linux и хотите отслеживать интерактивную активность всех пользователей системы (команды Linux, которые они выполняют) в режиме реального времени. В этом кратком руководстве по безопасности системы Linux мы объясним, как просматривать все команды оболочки Linux, выполняемые пользователями системы, в режиме реального времени.

Читайте также: как отслеживать активность пользователей с помощью инструментов psacct или acct

Если в вашей системе используется bash, наиболее часто используемая оболочка, то все команды, выполняемые обычными пользователями системы, будут храниться в скрытом файле .bash_history, который хранится в папке каждого пользователя. домашний каталог. Содержимое этого файла пользователи могут просмотреть с помощью команды истории.

Чтобы просмотреть файл aaronkilik .bash_history пользователя, введите:

cat /home/aaronkilik/.bash_history

На снимке экрана выше дата и время выполнения команды не показаны. Это настройка по умолчанию в большинстве, если не во всех, дистрибутивах Linux.

Вы можете следовать этому руководству, чтобы установить дату и время для каждой команды в файле bash_history.

Мониторинг активности пользователей в режиме реального времени с помощью Sysdig в Linux

Чтобы получить представление о том, что пользователи делают в системе, вы можете использовать команду w следующим образом.

w

Но чтобы в реальном времени просмотреть команды оболочки, выполняемые другим пользователем, вошедшим в систему через терминал или SSH, вы можете использовать инструмент Sysdig в Linux.

Sydig — это кроссплатформенный, мощный и гибкий инструмент с открытым исходным кодом для мониторинга, анализа и устранения неполадок системы для Linux. Его можно использовать для исследования и отладки системы.

После установки sysdig используйте инструмент spy_users, чтобы шпионить за пользователями, выполнив приведенную ниже команду.

sysdig -c spy_users

Приведенная выше команда отображает каждую команду, которую пользователи запускают в интерактивном режиме, а также каждый посещаемый ими каталог.

Вот и все, вы также можете ознакомиться со следующими статьями по теме:

  1. 25 советов по усилению безопасности серверов Linux
  2. Lynis — инструмент аудита и сканирования безопасности для систем Linux
  3. 10 полезных брандмауэров безопасности с открытым исходным кодом для систем Linux
  4. Практическое руководство по Nmap (сканер сетевой безопасности) в Linux

В этом руководстве по безопасности системы мы описали, как просматривать файл истории bash пользователей, показывать вошедших в систему пользователей и то, что они делают, а также объяснили, как просматривать или отслеживать все команды, выполняемые пользователями системы, в режиме реального времени.

Если вы хотите поделиться какими-либо другими методами или задать вопросы, сделайте это в разделе комментариев ниже.