Artigos: 32   Dicas: 104   Usuários: 157
Esqueceu sua senha? Cadastre-se
Linux mulheres
Distribuições Linux
scriptsadmin
trainingtecnologia
Onde você usa o Linux ?
Home >> Dicas >> Linux >> Descobrindo quem esta acessando ou acessou o seu servidor

Descobrindo quem esta acessando ou acessou o seu servidor

Muitas pessoas perguntam como sei se alguém entrou sem ser convidado ? Vou postar umas dicas de como saber e como se prevenir
Data de criação: 05/10/2009
Indicar para um amigo Indicar para um amigo     Favoritos Favoritos

Analisando o sistema e lendo arquivos de log

BrOfficeparaleigos
=========================================================================
DESCOBRINDO UM USUÁRIO E DERRUBANDO-O
=========================================================================

Muito bem como saber se tem algum intrometido na minha rede, com alguns comandos você descobrir tal sujeito

Digite w

Será mostrado quem atualmente está conectado na máquina

proxy:~# w
20:22:48 up 11 days, 5:30, 2 users, load average: 0.09, 0.03, 0.01
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
eveling pts/0 189-59-112-15.ds 20:22 0.00s 0.08s 0.02s sshd: acarlos [priv]
fernando pts/1 201-67-132-28.ds 20:22 3.00s 0.08s 0.08s -bash

Nesse exemplo existem dois usuários

eveling - Que sou eu
fernando - Que é o outro usuário

Se você quiser desconectar o usuário que esteja logado você pode derrubá-lo através do nº PID para isso, digite:

# ps ax

14392 ? S 0:00 sshd: fernando@pts/1

Após uma série de processos listados geralmente no final vai listar os usuário nesse exemplo o nº PID do fernando é 14392, então para desconectá-lo digite:

# kill -9 14392

Pronto, usuário derrubado

==========================================================================
QUANDO UM USUÁRIO ACESSOU
==========================================================================

Agora para saber quando um usuário acessou você pode ver os logs de acesso

# cat /var/log/auth.log

Oct 5 20:22:45 proxy sshd[14390]: Accepted password for fernando from 201-67-132-28 port 33566 ssh2
Oct 5 20:22:45 proxy sshd[14390]: pam_unix(sshd:session): session opened for user fernando by (uid=0)
Oct 5 20:23:44 proxy sshd[14390]: pam_unix(sshd:session): session closed for user fernando

Nesse log o usuario fernando se conectou no dia 05 de outubro às 20:22h através do IP 201-67-132-28

Para evitar que algum usuário cadastrado na rede acesse o shell você pode entrar no arquivo

# /etc/passwd

E no final do arquivo mude de bash para false assim o usuário não poderá acessar o shell da máquina.

Não confunda: A restrição do shell não tem a ver com o acesso a rede pelo samba

Essa é uma pequena demostração se um usuário está logado ou se logon regras de firewall deverão serem aplicadas para fortalecer o sistema

Beijos e abraços

Dicas deste Autor

Comentários

Nenhum comentário para esta dica.

Mapa do Site