日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
Linux用戶行為分析具體方法

無論何時,都要對用戶的所有行為做到記錄和可追溯,這在解決一些疑難雜癥的時候很有幫助,因為你不知道什么時候會有些牛鬼蛇神對機器做些匪夷所思的操作,下面為大家詳細講解一下Linux用戶行為分析。

站在用戶的角度思考問題,與客戶深入溝通,找到寧洱網(wǎng)站設(shè)計與寧洱網(wǎng)站推廣的解決方案,憑借多年的經(jīng)驗,讓設(shè)計與互聯(lián)網(wǎng)技術(shù)結(jié)合,創(chuàng)造個性化、用戶體驗好的作品,建站類型包括:網(wǎng)站設(shè)計制作、網(wǎng)站制作、企業(yè)官網(wǎng)、英文網(wǎng)站、手機端網(wǎng)站、網(wǎng)站推廣、域名申請、網(wǎng)頁空間、企業(yè)郵箱。業(yè)務(wù)覆蓋寧洱地區(qū)。

finger命令

?finger是獲取用戶個人資料的一個便捷命令。 它使您可以查看誰已登錄或?qū)W⒂趩蝹€用戶,以查看上一次登錄、他們從何處登錄、閑置時間有多久(自運行命令以來有多久)等。 在該命令中, 我們查看用戶nemo。?

$ finger nemo  
Login: nemo Name: Nemo Demo  
Directory: /home/nemo Shell: /bin/bash  
On since Fri Jun 19 12:58 (EDT) on pts/1 from 192.168.0.6  
7 minutes 47 seconds idle  
New mail received Wed Jun 17 18:31 2020 (EDT)  
Unread since Sat Jun 13 18:03 2020 (EDT)  
No Plan.

?我們可以看到nemo的全名、主目錄和外殼,還可以看到nemo的最新登錄和電子郵件活動。 僅在/etc/passwd文件中的全名字段中定義了辦公室、辦公室電話和家庭電話號碼,這些信息才包括在內(nèi)。 比如說:?

nemo:x:1001:1001:Nemo Demo,11,540-222-2222,540-333-3333:/home/nemo:/bin/bash).

?上面的輸出還表明nemo沒有“計劃”,但這只是意味著該用戶沒有創(chuàng)建.plan文件、并將一些文本放入其中。 這并不罕見。?

?如果沒有參數(shù),finger將以如下所示的格式顯示當前登錄列表。 您可以看到他們何時登錄、從哪個IP地址登錄、使用中的偽終端(比如pts/1)以及閑置了多久。?

$ finger  
Login Name Tty Idle Login Time Office Office Phone  
nemo Nemo Demo pts/1 1:24 Jun 19 12:58 (192.168.0.6)  
shs Sandra Henry-Stocker pts/0 Jun 19 12:57 (192.168.0.60

w命令

?w命令也以一份格式清晰的列表顯示了目前活動的用戶,包括閑置時間、用戶最近運行了什么命令。 它還在最上面一行顯示系統(tǒng)已運行了多久,并提供負載平均數(shù)字,表明系統(tǒng)有多忙碌。 在這里,系統(tǒng)基本上處于閑置狀態(tài)。?

$ w  
14:23:19 up 1 day, 20:24, 2 users, load average: 0.00, 0.00, 0.00  
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT  
shs pts/0 192.168.0.6 12:57 0.00s 0.14s 0.01s w  
nemo pts/1 192.168.0.6 12:58 1:24m 0.03s 0.03s -bash

id命令

?如果使用id命令,您可以查看用戶的數(shù)值ID和用戶組ID以及該用戶是哪些用戶組的成員。 這些信息從/etc/passwd文件和/etc/group文件獲取而來。 沒有參數(shù)的id報告您帳戶的信息。?

$ id  
uid=1000(shs) gid=1000(shs) groups=1000(shs),4(adm),11(admin),24(cdrom),27(sudo),30(dip),46(plugdev),118(lpadmin),128(sambashare),500(devops)  
$ id nemo  
uid=1001(nemo) gid=1001(nemo) groups=1001(nemo),16(fish)  
auth.log

?您可以使用grep之類的命令從/var/log/auth.log文件獲取信息。 為了使用auth.log數(shù)據(jù)顯示最近登錄活動,您可以運行這樣的命令:?

$ grep "New session" /var/log/auth.log | awk '{print $1,$2,$3,$11}' | tail -5  
Jun 17 17:22:38 shs.  
Jun 17 17:58:43 gdm.  
Jun 17 18:09:58 shs.  
Jun 19 12:57:36 shs.  
Jun 19 12:58:44 nemo.  

last命令

?last命令可能最擅長查看所有用戶或某一個用戶的最近登錄。 記住一點:last首先顯示最近的活動,因為這是大多數(shù)管理員最感興趣的信息。?

$ last | head -5  
nemo pts/1 192.168.0.6 Fri Jun 19 12:58 still logged in  
shs pts/0 192.168.0.6 Fri Jun 19 12:57 still logged in  
shs pts/0 192.168.0.6 Wed Jun 17 18:10 - 18:42 (00:32)  
reboot system boot 5.4.0-37-generic Wed Jun 17 17:58 still running  
shs pts/2 192.168.0.6 Wed Jun 17 17:22 - 17:57 (00:34)  
$ last nemo | head -5  
nemo pts/1 192.168.0.6 Fri Jun 19 12:58 - 16:21 (03:22)  
nemo pts/2 192.168.0.6 Sat Jun 13 17:49 - 19:05 (01:16)  
nemo pts/1 192.168.0.6 Thu Jun 4 17:33 - 17:44 (00:10)  
nemo pts/1 192.168.0.19 Mon May 11 19:04 - 19:57 (00:52)  
nemo pts/1 192.168.0.19 Tue May 5 12:46 - 17:49 (05:02)

du命令

如果針對/home中的每個目錄運行,du命令會報告每個用戶的主目錄在使用多少空間,就像這樣:

$ sudo du -sk /home/*  
289 /home/dorothy  
116 /home/dory  
88 /home/eel  
28 /home/gino  
28 /home/jadep  
12764 /home/nemo  
732 /home/shark  
418046 /home/shs  
108 /home/tadpole

默認情況下,報告的大小以1024字節(jié)為單位。

ps和history命令

?針對當前登錄的用戶,您始終可以使用ps -ef | grep ^nemo之類的命令,查看用戶目前在運行哪些命令和進程。 想查看以前運行的命令,可以試著查看用戶的歷史記錄文件(比如.bash_history),不過要注意,用戶可以設(shè)置帳戶,以便某些命令不被捕獲到歷史記錄文件中,他們還可以編輯這些文件,如果選擇這么做的話。?

統(tǒng)計登錄次數(shù)

如果您想查看自/var/log/wtmp文件上一次翻轉(zhuǎn)以來每個用戶登錄的次數(shù),可以使用這樣的命令:

$ for USER in `ls /home`> do  > cnt=`last $USER | grep ^$USER | wc -l` # count logins  > echo $USER: $cnt # show login count  > done

輸出會像是這樣:

dorothy: 0  dory: 0  eel: 8  gino: 0  jadep: 102  nemo: 39  shark: 50  shs: 105  tadpole: 0

如果您想要更多的細節(jié),可以創(chuàng)建一個較復(fù)雜的腳本,以便添加另外一些信息,比如登錄細節(jié)和格式。

#!/bin/bash  
sepline="===================="  
for USER in `ls /home`  
do  
len=`echo $USER | awk '{print length($0)}'` # get length of username  
echo $USER  
sep="${sepline:1:$len}" # set separator  
echo $sep # print separator  
cnt=`last $USER | grep ^$USER | wc -l` # count logins  
echo logins: $cnt # show login count  
last $USER | grep ^$USER | head -5 # show most recent logins  
echo  
done

?上述??腳本??將顯示的數(shù)據(jù)限制在最近的五次登錄,但是您可以輕松改變。 以下是一個用戶的數(shù)據(jù)的格式會什么樣:?

shs  
===  
logins: 105  
shs pts/0 192.168.0.6 Fri Jun 19 12:57 still logged in  
shs pts/0 192.168.0.6 Wed Jun 17 18:10 - 18:42 (00:32)  
shs pts/2 192.168.0.6 Wed Jun 17 17:22 - 17:57 (00:34)  
shs pts/0 192.168.0.25 Wed Jun 17 17:20 - 17:57 (00:36)  
shs pts/1 192.168.0.6 Wed Jun 17 15:19 - 17:57 (02:38)

檢查企圖使用sudo的情況

如果您想看看用戶中有誰企圖使用sudo、而他們本無這項權(quán)限,可以運行這樣的命令:

$ grep "NOT in sudoers" /var/log/auth.log | awk '{print $6}'
nemo

?如果您在無權(quán)提升權(quán)限的情況下試圖使用sudo,而系統(tǒng)發(fā)出警告信息“用戶名不在sudoers文件中。 將報告該事件”,您可能會知道這個日志條目是該報告的精髓。 除非管理員竭力尋找sudo使用違規(guī),否則它們不會被人注意。


標題名稱:Linux用戶行為分析具體方法
轉(zhuǎn)載注明:http://www.5511xx.com/article/dhpcgip.html