Кто сейчас в системе?

0

2

Добрый день.
Хочу узнать, как определить подключение пользователя root к системе.
К примеру делаю в консоли utmpdump /var/run/utmp вижу последним в списке, мой ник. - Хорошо. Далее открываю закладку в терминале, и снова делаю utmpdump /var/run/utmp , и уже показываются два моих ника, тоесть два подключения на каждую вкладку терминала. - Хорошо.
Далее, ввожу su и теперь я как root. Ввожу снова utmpdump /var/run/utmp и вижу что , всё как было, так и осталось. Тоесть utmp показывает, как и показывал, два моих подключения под моим ником.
Почему не отображается подключение пользователя root?
Где ещё можно посмотреть подключения к системе супер пользователя???

Ссылка

←	Какие есть ещё ресурсы посвященные безопасности?

Шифрование директорий пользователей

→

«who» или «w». Можешь посмотреть список процессов с пользователями: «ps aux».

post-factum ★★★★★
(27.06.11 12:37:03 MSK)

Ответ на: комментарий от post-factum 27.06.11 12:37:03 MSK

Опробовал эти две команды, всёравно не выводит инфу, то что я под рутом.

Deleted
(27.06.11 12:40:28 MSK)

Ссылка

Янихренанепонял. whoami что выводит?

X10Dead ★★★★★
(27.06.11 12:42:41 MSK)

Ответ на: комментарий от X10Dead 27.06.11 12:42:41 MSK

[root@localhost ~]# whoami
root

Deleted
(27.06.11 12:46:26 MSK)

Ссылка

а что даст тебе это определение ?

x905 ★★★★★
(27.06.11 13:04:18 MSK)

Ответ на: комментарий от x905 27.06.11 13:04:18 MSK

Если вопрос ко мне, то это мне нужно, для определения, зашел ли кто-то из подключившихся пользователей под root-ом.

Deleted
(27.06.11 13:08:04 MSK)

Ответ на: комментарий от Deleted 27.06.11 13:08:04 MSK

не панацея и, возможно, работает в единичных случаях, но хоть что-то:

who| grep -P '('$(ps au| grep ^root| grep ' pts/' | awk '{print $7}' | sort|uniq | tr '\n' '|')'nopts/0)'

Slavaz ★★★★★
(27.06.11 13:16:06 MSK)

Ответ на: комментарий от Deleted 27.06.11 13:08:04 MSK

а если ктото зайдет, сделает чтото, потрет за собой следы и выйдет ?

x905 ★★★★★
(27.06.11 13:17:12 MSK)

Ответ на: комментарий от Slavaz 27.06.11 13:16:06 MSK

Тоже к сожалению не помогло

x905
Даже об этом думать не хочется,для начала надо узнать,как определить заход в систему под рутом.

Deleted
(27.06.11 13:20:29 MSK)

[root@minibav ~]# tail /var/log/auth.log
Jun 27 20:21:00 localhost sudo:   bobrov : TTY=pts/2 ; PWD=/home/bobrov/music/chiptune ; USER=root ; COMMAND=/usr/bin/tail /var/log/auth.log
Jun 27 20:21:00 localhost sudo: pam_unix(sudo:session): session opened for user root by (uid=1000)
Jun 27 20:21:37 localhost sudo:   bobrov : TTY=pts/2 ; PWD=/home/bobrov ; USER=root ; COMMAND=/usr/bin/tail /var/log/auth.log
Jun 27 20:21:37 localhost sudo: pam_unix(sudo:session): session opened for user root by (uid=1000)
Jun 27 20:22:21 localhost su: pam_unix(su:auth): authentication failure; logname= uid=1000 euid=0 tty=pts/2 ruser=bobrov rhost=  user=root
Jun 27 20:22:32 localhost su: pam_unix(su:session): session opened for user root by (uid=1000)

~~baverman~~ ★★★
(27.06.11 13:24:56 MSK)

Ответ на: комментарий от Deleted 27.06.11 13:20:29 MSK

А настроить sulog (SULOG_FILE) не судьба?

~~adriano32~~ ★★★
(27.06.11 13:27:00 MSK)

Ссылка

Рут всё равно имеет доступ на запись в utmp и wtmp, поэтому может залогиниться и скрыться, чтобы не видно было, даже если было видно.

gentoo_root ★★★★★
(27.06.11 13:27:19 MSK)

Ответ на: комментарий от x905 27.06.11 13:17:12 MSK

/var/log/auth.log

~~sdio~~ ★★★★★
(27.06.11 13:29:20 MSK)

Ответ на: комментарий от baverman 27.06.11 13:24:56 MSK

Огромное СПАСИБО!! /var/log/auth.log то что нужно!

Deleted
(27.06.11 13:35:47 MSK)

Ссылка

Ответ на: комментарий от gentoo_root 27.06.11 13:27:19 MSK

remote logging решает

~~sdio~~ ★★★★★
(27.06.11 13:36:47 MSK)

Ссылка

Ответ на: комментарий от Deleted 27.06.11 13:08:04 MSK

нужно, для определения, зашел ли кто-то из подключившихся пользователей под root-ом.

В принципе сказали уже про auth.log... (Ниже вариант для слаки)
mute@slacknas:~$ su - Password:
root@slacknas:~# who -a
LOGIN tty6 2011-06-05 21:09 3183 id=c6
mute + pts/0 2011-06-27 12:01 . 7551 (87.226.233.158)

...

root@slacknas:~# cat /var/log/secure | grep root | tail -n50
...
Jun 27 12:01:46 slacknas pts/0 mute-root

slackwarrior ★★★★★
(27.06.11 13:38:20 MSK)

Ссылка

Ответ на: комментарий от sdio 27.06.11 13:29:20 MSK

хм, этот файл рут не сможет поправить?

x905 ★★★★★
(27.06.11 13:51:21 MSK)

Ответ на: комментарий от x905 27.06.11 13:51:21 MSK

remote logging

~~sdio~~ ★★★★★
(27.06.11 15:09:29 MSK)

Ответ на: комментарий от sdio 27.06.11 15:09:29 MSK

про remote logging ТС не спрашивал (нет в условиях задачи)

не знаю что выполниться быстрее: отключение remote logging или заход под рутом, если второе, то можно отключить )

x905 ★★★★★
(27.06.11 15:25:58 MSK)

Ответ на: комментарий от x905 27.06.11 15:25:58 MSK

Про затирание следов ТС тоже не спрашивал, но ЛОР славится умниками и умницами, да?

~~sdio~~ ★★★★★
(27.06.11 15:44:30 MSK)

Ответ на: комментарий от sdio 27.06.11 15:44:30 MSK

затирание следов - это первое что сделает «плохой» рут, зайдя в чужую систему
или я не понимаю зачем ТС нужно то, что он хочет

x905 ★★★★★
(27.06.11 16:01:26 MSK)

Ответ на: комментарий от x905 27.06.11 16:01:26 MSK

x905> затирание следов - это первое что сделает «плохой» рут, зайдя в чужую систему

Как только он зайдет, лог уйдет на удаленную систему

~~sdio~~ ★★★★★
(27.06.11 16:06:51 MSK)

Ответ на: комментарий от sdio 27.06.11 16:06:51 MSK

> Как только он зайдет, лог уйдет на удаленную систему

Причем по витухе с несколькими обкусанными жилами.

soomrack ★★★★★
(28.06.11 01:34:52 MSK)

Ответ на: комментарий от soomrack 28.06.11 01:34:52 MSK

Ганс Христиан?

wlan ★★
(28.06.11 02:59:35 MSK)

Ссылка

31 июля 2011 г.

>Далее, ввожу su и теперь я как root

man 1 su внимательнее на предмет опции -l или -

Ygor ★★★★★
(31.07.11 02:13:23 MSK)

Ссылка

Если используется ConsoleKit, то есть ещё такая вещь, как ck-list-sessions.

Session12:
	unix-user = '0'
	realname = 'root'
	seat = 'Seat1'
	session-type = ''
	active = FALSE
	x11-display = ''
	x11-display-device = ''
	display-device = '/dev/pts/0'
	remote-host-name = ''
	is-local = TRUE
	on-since = '2011-07-30T23:44:38.738741Z'
	login-session-id = ''

Selius
(31.07.11 03:50:00 MSK)

Ссылка

users, клоун!

anonymous
(31.07.11 05:03:02 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Какие есть ещё ресурсы посвященные безопасности?

Security

Шифрование директорий пользователей

→

Похожие темы