Как определить IP-адрес того, кто зарегистрировался в Root?

Есть несколько человек с корневым доступом к определенной виртуальной машине, которой я занимаюсь. Я хотел бы узнать, какой IP-адрес использовался для входа в root.

  • Нужны ли нам polkit и consolekit на наших корневых серверах?
  • Происхождение учетной записи root
  • Как вы переименовываете корень?
  • создать ошибку пользователя root
  • Почему это плохая идея для запуска с правами root?
  • Закрепите NAS D-Link 1550-4
  • Control-C запускает выход из корня в bash
  • запуск ./install как root
  • 5 Solutions collect form web for “Как определить IP-адрес того, кто зарегистрировался в Root?”

    Это зависит от вашего дистрибутива или ОС. sshd будет регистрировать каждый логин где-нибудь и будет включать соответствующий IP-адрес в формате входа в систему следующим образом:

     Aug 20 15:56:53 machine sshd[2728]: Accepted publickey for root from 192.168.1.2 port 49297 

    Эта часть последовательна, но как вы ее там можете изменить. В системах, основанных на systemd , используйте параметр journalctl :

     journalctl /usr/bin/sshd 

    чтобы просмотреть все сообщения журнала из исполняемого файла sshd . Вы можете использовать это для корневого входа или других критериев и ограничить его по дате с помощью --since и --until (см. man journalctl ).

    Альтернативно и исторически сообщения будут регистрироваться (обычно) где-нибудь в /var/log . Обычно сообщения sshd в /var/log/auth.log , но точный файл может существенно различаться. Какой бы он ни был:

     grep sshd /var/log/auth.log 

    даст вам в целом эквивалентную информацию для версии journalctl .

    Вы можете использовать last команду для получения этой информации

     # last|head phemmer ssh 192.168.0.24 Wed Aug 20 21:08 - 21:08 (00:00) phemmer pts/13 192.168.0.2 Wed Aug 20 14:00 - 18:43 (04:43) phemmer ssh 192.168.0.2 Wed Aug 20 14:00 - 18:43 (04:43) phemmer ssh ::1 Wed Aug 13 23:08 - 23:08 (00:00) phemmer ssh ::1 Wed Aug 13 23:08 - 23:08 (00:00) phemmer ssh ::1 Wed Aug 13 23:07 - 23:07 (00:00) phemmer pts/15 192.168.0.20 Thu Aug 7 19:00 - 19:00 (00:00) phemmer ssh 192.168.0.20 Thu Aug 7 19:00 - 19:00 (00:00) phemmer :0 Wed Jul 30 20:06 still logged in reboot system boot 3.13.2-gentoo Wed Jul 30 20:05 still running 

    Как вы, без сомнения, видите, третий столбец покажет удаленный IP-адрес в случае входа SSH.

    last использует файл /var/log/wtmp , поэтому этот метод похож на ответ G-Man (просто немного проще, так как вам не нужно указывать путь к файлу).

    Вы не должны позволять людям использовать ssh , войдя в систему напрямую с правами root (используя пароль root или сертификат в /root/.ssh/authorized_keys ), если вы хотите провести аудит, кто зарегистрирован в качестве пользователя root. Вместо этого используйте одну учетную запись для каждого человека и позвольте им использовать sudo для получения прав root. Таким образом, вы найдете в соответствующем журнале (позиция файла журнала зависит от того, какой у вас дистрибутив, вы даже можете настроить демона журнала для отправки сообщений на другой компьютер), user john ran the command 'sudo rm -rf /' сообщения user john ran the command 'sudo rm -rf /' . Ну, может быть, вы не найдете легко одной команды в журналах.

    Команда

     who /var/log/wtmp 

    должен показать информацию, как то who что показывает, но вернуться во времени.

    Из краткого описания, которое вы указали, кажется, было бы лучше, если бы вы создали систему мониторинга журналов. Это поможет вам следить за входами, создавать оповещения, сравнивать данные за несколько дней и давать все графики курса.

    Но если вам нужно временно контролировать его, вы можете использовать last команду.

     last | grep root | grep -v tty | awk '{print $3}' 

    Это даст вам список IPs или Hostnames откуда пользователь root выполнил вход в систему.

    Interesting Posts

    Может ли 0-й физический ядро ​​использовать асимметрично в linux?

    В Linux ядро, которое обрабатывает все пропуски TLB?

    Уменьшите размер кеша флеш-накопителей

    Проверка вашего интернет-соединения с помощью speedtest-cli и просмотра

    Как установить один пакет Jessie на Wheezy?

    Всего против перечисленных каталогов

    Беспроводная сеть не отображает сеть в результатах сканирования

    Стандартный / канонический способ проверить, выводит ли предыдущий трубопровод выпуск?

    Не удается подключиться к Интернету в Ubuntu 10.10

    Существует ли структурированный формат информации о версии для исполняемых файлов на уровне ОС?

    Мне нужно сделать файл undeleteable, но разрешить его модификацию и переименование

    Рекурсивно подсчитывать количество слов в одинаково именованных файлах в разных каталогах

    Как я могу изменить порядок, в котором база данных update-desktop помещает приложения, поддерживающие mimetype?

    Какой самый безопасный способ передать письмо скрипту через procmail?

    Почему sort -o полезен?

    Linux и Unix - лучшая ОС в мире.