Salah satu tugas paling penting yang Anda miliki sebagai administrator sistem adalah memantau sistem Anda untuk setiap aktivitas mencurigakan yang mungkin mengindikasikan kompromi keamanan dan menindaklanjutinya. Anda harus mengevaluasi aktivitas login untuk tanda-tanda pelanggaran keamanan, seperti beberapa login yang gagal.
CATATAN :Meninjau file seperti /var/log/messages juga dapat memberi Anda informasi tentang aktivitas login.Untuk memantau aktivitas login, Anda dapat menggunakan perintah berikut:
siapa
Perintah who Menunjukkan siapa yang sedang login ke sistem dan informasi seperti waktu login terakhir. Anda dapat menggunakan opsi seperti
-H (tampilkan judul kolom)
-r (runlevel saat ini)
-a (menampilkan informasi yang disediakan oleh sebagian besar opsi).
Misalnya, memasukkan who -H mengembalikan informasi yang mirip dengan berikut ini:
# who -H NAME LINE TIME COMMENT user pts/0 2017-12-14 09:58
Demikian pula perintah 'who -a' akan menampilkan output seperti di bawah ini.
# who -a
system boot 2017-12-14 09:51
LOGIN ttyS0 2017-12-14 09:52 1103 id=tyS0
LOGIN tty1 2017-12-14 09:52 1102 id=tty1
run-level 3 2017-12-14 09:53
user + pts/0 2017-12-14 09:58 . 1164 w
'w ' command Menampilkan informasi tentang pengguna saat ini di mesin dan prosesnya. Baris pertama berisi informasi tentang waktu saat ini, berapa lama sistem telah berjalan, berapa banyak pengguna yang saat ini masuk, dan rata-rata beban sistem selama 1, 5, dan 15 menit terakhir.
Di bawah baris pertama adalah entri untuk setiap pengguna yang menampilkan nama login, nama TTY, host jarak jauh, waktu login, waktu idle, JCPU, PCPU, dan baris perintah dari proses pengguna saat ini. Di bawah ini adalah contoh output dari perintah w.
# w 11:05:37 up 1:14, 2 users, load average: 0.00, 0.01, 0.05 USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT user pts/0 09:58 1:04m 0.38s 1.74s login -- user user pts/1 11:05 1.00s 0.03s 0.15s login -- user
Waktu JCPU adalah waktu yang digunakan oleh semua proses yang melekat pada tty. Itu tidak termasuk pekerjaan latar belakang sebelumnya, tetapi itu mencakup pekerjaan latar belakang yang sedang berjalan. Waktu PCPU adalah waktu yang digunakan oleh proses saat ini, yang diberi nama di
bidang Apa. Anda dapat menggunakan opsi seperti -h (jangan tampilkan header), -s (jangan tampilkan waktu login, JCPU, dan PCPU), dan -V (tampilkan informasi versi).
jari
Perintah jari menampilkan informasi tentang pengguna sistem lokal dan jarak jauh. Secara default, informasi berikut ini ditampilkan tentang setiap pengguna yang saat ini masuk ke host lokal:
1. Nama login pengguna
2. Nama lengkap pengguna
3. Nama terminal terkait
4. Waktu menganggur
5. Waktu masuk (dan dari mana)
Anda dapat menggunakan opsi seperti -l (format panjang) dan -s (format pendek) . Misalnya, memasukkan 'finger -s' akan mengembalikan informasi yang mirip dengan berikut ini:
# finger -s Login Name Tty Idle Login Time Office Office Phone Host user pts/0 1:18 Dec 14 09:58 user pts/1 Dec 14 11:05
# finger -l Login: user Name: Directory: /home/user Shell: /bin/bash On since Thu Dec 14 09:58 (EST) on pts/0 1 hour 18 minutes idle On since Thu Dec 14 11:05 (EST) on pts/1 1 second idle No mail. No Plan.
terakhir
Perintah terakhir menampilkan daftar pengguna yang masuk dan keluar sejak /var/log/wtmp file telah dibuat. Perintah terakhir mencari kembali melalui file /var/log/wtmp (atau file yang ditunjuk oleh -f option) dan menampilkan daftar semua pengguna yang telah masuk (dan keluar) sejak file dibuat. Anda dapat menentukan nama pengguna dan TTY untuk hanya menampilkan informasi untuk entri tersebut.
Anda dapat menggunakan opsi seperti -n (di mana n adalah jumlah baris yang akan ditampilkan), -a (menampilkan nama host di kolom terakhir), dan -x (menampilkan entri shutdown sistem dan perubahan runlevel).
Misalnya, memasukkan -kapak terakhir mengembalikan informasi yang mirip dengan berikut ini:
# last -ax user pts/0 Sun Dec 17 00:05 still logged in runlevel (to lvl 3) Sun Dec 17 00:04 - 00:09 (00:05) 3.10.0-693.11.1.el7.x86_64 reboot system boot Sun Dec 17 00:03 - 00:09 (00:05) 3.10.0-693.11.1.el7.x86_64 shutdown system down Thu Dec 14 13:05 - 00:03 (2+10:58) 3.10.0-693.11.1.el7.x86_64 user pts/1 Thu Dec 14 11:05 - down (02:00) user pts/0 Thu Dec 14 09:58 - down (03:06)
log terakhir
Perintah lastlog memformat dan mencetak konten file log login terakhir (/var/log/lastlog). Nama login, port, dan waktu login terakhir ditampilkan.
Memasukkan perintah tanpa opsi menampilkan entri yang diurutkan berdasarkan ID numerik. Anda dapat menggunakan opsi seperti -u login_name (menampilkan informasi hanya untuk pengguna yang ditunjuk) dan -h (tampilkan pesan bantuan satu baris). Jika pengguna belum pernah masuk, pesan **Tidak pernah masuk** ditampilkan di tempat port dan waktu. Misalnya, memasukkan lastlog akan mengembalikan informasi yang mirip dengan berikut ini:
# lastlog Username Port From Latest root pts/0 Sun Dec 17 00:05:43 -0500 2017 bin **Never logged in** daemon **Never logged in** adm **Never logged in** .... chrony **Never logged in** ec2-user **Never logged in** user pts/0 Sun Dec 17 00:05:35 -0500 2017