На Ubuntu Artful 17, как привилегированный пользователь, как я могу получить электронное письмо (возможно ночное) с информацией о том, какие запросы GET были отправлены в порт
В Ubuntu Artful 17, как привилегированный пользователь, как я могу получить электронное письмо (возможно, ночное) с информацией о
, какие запросы GET были отправлены в порт 80, который пытался подключить ssh к порту 22 после «обычный пользователь» вошел в систему через ssh, какие команды оболочки выполняли, они пытались выполнить sudo, пытались ли они читать или удалять / home / otherother / * files2 ответа
О вашем вопросе:
Вы можете проверить все ваши полученные запросы на порт 80 в своих журналах веб-сервера. В Apache его журналы можно найти по следующим адресам в зависимости от дистрибутива и версии GNU Linux. /var/log/apache/access.log /var/log/apache2/access.log /var/log/httpd/access.log О проверке ваших журналов SSH см. следующие ссылки: Как отслеживать неудачные попытки входа в систему SSH? Где пытается Ubuntu 14.04 регистрировать SSH-доступ? [duplicate] Вы можете проверить команды ALL, выполненные другим пользователем, открыв файл .bash_history, расположенный в /home/<username>/.bash_history, также помните, что пользователь может удалить этот файл журнала.Выполнение tail /var/log/auth.log | grep <username> должно дать вам историю sudo пользователя.
Если пользователь породил оболочку с sudo -s, sudo su, sudo sh и т. д., тогда выполняемые команды могут отображаться в файле истории пользователя root, расположенном в /root/.bash_history. [ ! d20]
Если вы хотите создать инструмент для этой цели, вы можете проверить sysdig.
Сидиг - это открытый, кросс-платформенный, мощный и гибкий инструмент для мониторинга, анализа и устранения неполадок системы Linux. Он может использоваться для исследования и отладки системы.Вы можете выполнить sysdig -c spy_users, чтобы отображать каждую команду, которую пользователи запускают в интерактивном режиме, а также каждый пользователь, посещающий каталог.
Также вы можете использовать spy_port для отображения данных, обмен которыми осуществляется с помощью данный номер порта IP.
Надеюсь, это поможет.
О вашем вопросе:
Вы можете проверить все ваши полученные запросы на порт 80 в своих журналах веб-сервера. В Apache его журналы можно найти по следующим адресам в зависимости от дистрибутива и версии GNU Linux. /var/log/apache/access.log /var/log/apache2/access.log /var/log/httpd/access.log О проверке ваших журналов SSH см. следующие ссылки: Как отслеживать неудачные попытки входа в систему SSH? Где пытается Ubuntu 14.04 регистрировать SSH-доступ? [duplicate] Вы можете проверить команды ALL, выполненные другим пользователем, открыв файл .bash_history, расположенный в /home/<username>/.bash_history, также помните, что пользователь может удалить этот файл журнала.Выполнение tail /var/log/auth.log | grep <username> должно дать вам историю sudo пользователя.
Если пользователь породил оболочку с sudo -s, sudo su, sudo sh и т. д., тогда выполняемые команды могут отображаться в файле истории пользователя root, расположенном в /root/.bash_history. [ ! d20]
Если вы хотите создать инструмент для этой цели, вы можете проверить sysdig.
Сидиг - это открытый, кросс-платформенный, мощный и гибкий инструмент для мониторинга, анализа и устранения неполадок системы Linux. Он может использоваться для исследования и отладки системы.Вы можете выполнить sysdig -c spy_users, чтобы отображать каждую команду, которую пользователи запускают в интерактивном режиме, а также каждый пользователь, посещающий каталог.
Также вы можете использовать spy_port для отображения данных, обмен которыми осуществляется с помощью данный номер порта IP.
Надеюсь, это поможет.
-
1
-
2