我可以知道其他人通过ssh登录了什么以及他们在Linux上做了什么吗?

1

作为root用户,我可以知道其他ssh-login用户做了什么以及他们在Linux上做了什么吗?

ssh  root  sshd 
背风处
source

Answers:

1

您可以使用who(或w)命令查看当前登录的用户。您可以使用该last命令查看最近登录过的人员的历史记录(即使是不再登录的人员)。

如果您在上述两个命令中都没有看到任何内容,则表示具有root权限的用户清除了历史记录。

但是,你无法知道当前有人在做什么。你可以看到他们.bash_history(假设他们使用bash)文件并查看他们的最后命令。请注意,您只能在此处找到用户从shell注销时运行的命令。

NKN
source
who输出一些行作为user pts/NUM DATE TIME (:0.0)。对于某些行,它不是(:0.0)而是(IP地址)。(:0.0)是否意味着死?
Lee
1
不,那些是显示器。它基本上意味着某人与Linux理解为物理登录的某种机制相关联。这些可以是:使用键盘连接到盒子的物理访问,这样的服务iLO/DRAC授予用户与盒子进行交互的方式,就像他们在那里一样,等等。
nKn 2015年
天啊,我在一些意想不到的时间看到很多联系(按照。列出w
Lee
如果他们还在,请按照我在其他问题中的回答将其全部删除,并尽快更改密码。
nKn 2015年
所以,如果我明白你的意思,因为display:0.0他们是本地联系,我不需要担心。
Lee
1

w是答案。如果您想查看命令历史记录,可以随时查看其~/.bash_history文件。

示例w

$w
 17:13:38 up 1 day,  3:45,  3 users,  load average: 1.57, 1.24, 1.02
USER     TTY        LOGIN@   IDLE   JCPU   PCPU WHAT
claudio  :0        Tue13   ?xdm?   5:42m  0.40s gnome-session
claudio  pts/0     Tue14   24:04m  0.20s  0.20s bash
claudio  pts/1     Tue15    0.00s  0.08s  0.00s w
SOMN
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.