วิธีตรวจสอบที่อยู่ IP ของผู้ที่เข้าสู่ระบบรูท?

มีหลายคนที่เข้าถึงรูทไปยัง VM เฉพาะที่ฉันรับผิดชอบ ฉันต้องการทราบว่าที่อยู่ IP ใดที่ใช้ในการเข้าสู่ระบบรูท

คุณสามารถใช้lastคำสั่งเพื่อรับข้อมูลนี้

# last|head
phemmer  ssh          192.168.0.24     Wed Aug 20 21:08 - 21:08  (00:00)
phemmer  pts/13       192.168.0.2      Wed Aug 20 14:00 - 18:43  (04:43)
phemmer  ssh          192.168.0.2      Wed Aug 20 14:00 - 18:43  (04:43)
phemmer  ssh          ::1              Wed Aug 13 23:08 - 23:08  (00:00)
phemmer  ssh          ::1              Wed Aug 13 23:08 - 23:08  (00:00)
phemmer  ssh          ::1              Wed Aug 13 23:07 - 23:07  (00:00)
phemmer  pts/15       192.168.0.20     Thu Aug  7 19:00 - 19:00  (00:00)
phemmer  ssh          192.168.0.20     Thu Aug  7 19:00 - 19:00  (00:00)
phemmer  :0                            Wed Jul 30 20:06   still logged in
reboot   system boot  3.13.2-gentoo    Wed Jul 30 20:05   still running

อย่างที่คุณไม่ต้องสงสัยเลยว่าคอลัมน์ 3 จะแสดงที่อยู่ IP ระยะไกลในกรณีที่มีการเข้าสู่ระบบ SSH

lastใช้/var/log/wtmpไฟล์ดังนั้นวิธีนี้คล้ายกับคำตอบของ G-Man (ง่ายกว่าเล็กน้อยเนื่องจากคุณไม่ต้องระบุพา ธ ไปยังไฟล์)

ขึ้นอยู่กับการกระจายหรือระบบปฏิบัติการของคุณ sshdจะบันทึกการเข้าสู่ระบบแต่ละที่และจะรวมที่อยู่ IP ที่เกี่ยวข้องในรูปแบบการเข้าสู่ระบบเช่นนี้:

Aug 20 15:56:53 machine sshd[2728]: Accepted publickey for root from 192.168.1.2 port 49297

ส่วนนั้นสอดคล้องกัน แต่วิธีที่คุณไปที่นั่นอาจแตกต่างกันไป บนระบบที่systemdใช้ให้ใช้journalctl:

journalctl /usr/bin/sshd

เพื่อแสดงรายการข้อความบันทึกทั้งหมดจากsshdไฟล์เรียกทำงาน คุณสามารถ grep นั้นสำหรับการเข้าสู่ระบบรากหรือเกณฑ์อื่น ๆ และ จำกัด ตามวันที่ด้วย--sinceและ--until(ดูman journalctl)

หรืออีกทางหนึ่งและในอดีตข้อความจะถูกบันทึกลงใน (ปกติ) /var/logในบางส่วน sshdข้อความทั่วไปจะเข้ามา/var/log/auth.logแต่ไฟล์ที่แน่นอนอาจแตกต่างกันไปอย่างมาก ไม่ว่ามันจะเป็นอะไร:

grep sshd /var/log/auth.log

จะให้ผลลัพธ์ที่เทียบเท่ากับjournalctlเวอร์ชั่นในวงกว้าง

คำสั่ง

who /var/log/wtmp

ควรแสดงข้อมูลเหมือนที่whoแสดง แต่ย้อนเวลากลับไป

คุณไม่ควรอนุญาตให้ผู้อื่นใช้งานsshโดยลงชื่อเข้าใช้โดยตรงในฐานะรูท (ใช้รหัสผ่านรูทหรือใบรับรอง/root/.ssh/authorized_keys) หากคุณต้องการตรวจสอบว่าใครเข้าสู่ระบบในฐานะรูท ให้ใช้หนึ่งบัญชีแทนแต่ละคนและให้พวกเขาใช้sudoเพื่อรับสิทธิ์การใช้งานรูท ด้วยวิธีนี้คุณจะพบในบันทึกที่เหมาะสม (ตำแหน่งของล็อกไฟล์ขึ้นอยู่กับการกระจายที่คุณมีและคุณยังสามารถกำหนดค่าภูตเข้าสู่ระบบเพื่อส่งข้อความไปยังเครื่องอื่น) user john ran the command 'sudo rm -rf /'ข้อความ บางทีคุณอาจจะไม่พบคำสั่งเดียวในบันทึกได้อย่างง่ายดาย

จากคำอธิบายสั้น ๆ ที่คุณให้มาดูเหมือนว่าจะดีกว่าถ้าคุณตั้งค่าระบบตรวจสอบบันทึก มันจะช่วยให้คุณตรวจสอบการเข้าสู่ระบบสร้างการแจ้งเตือนเปรียบเทียบข้อมูลหลายวันและใช่กราฟแน่นอนสำหรับทุกสิ่ง

แต่ถ้าคุณต้องการตรวจสอบมันชั่วคราวคุณสามารถใช้lastคำสั่ง

last | grep root | grep -v tty | awk '{print $3}'

นี้จะให้รายชื่อของIPsหรือHostnamesจากการที่ผู้ใช้รากได้เข้าสู่ระบบใน