在 Ubuntu Artful 17 上,作为特权用户,我如何才能收到一封电子邮件(可能每晚发送一次),其中包含有关哪些 GET 请求已发送到端口的信息

在 Ubuntu Artful 17 上,作为特权用户,我如何才能收到一封电子邮件(可能每晚发送一次),其中包含有关哪些 GET 请求已发送到端口的信息

在 Ubuntu Artful 17 上,作为特权用户,我如何才能收到一封包含以下信息的电子邮件(可能每晚发送一次)

  • 哪些 GET 请求被发送到端口 80
  • 谁尝试 ssh 连接到端口 22
  • “普通用户”通过 ssh 登录后
    • 他们执行了哪些 shell 命令
    • 他们尝试过 sudo 吗
    • 他们是否尝试读取或删除 /home/otherother/* 文件

答案1

关于您的问题:

  1. 您可以在 Web 服务器日志中检查对端口 80 收到的所有请求。

    • 在 Apache 中,其日志可以在以下地址找到,具体取决于 GNU Linux 发行版和版本。
      • /var/log/apache/access.log
      • /var/log/apache2/access.log
      • /var/log/httpd/access.log
  2. 关于检查您的 SSH 日志,请参考以下链接:

  3. .bash_history您可以通过打开位于的文件来检查另一个用户执行的所有命令/home/<username>/.bash_history,另请记住,用户可以删除此日志文件。

执行后tail /var/log/auth.log | grep <username>应该会给你一个用户的 sudo 历史记录。

如果用户使用sudo -ssudo susudo sh等命令生成了 shell,则执行的命令可能会出现在 root 用户的历史文件中,位于/root/.bash_history

如果你想要一个为此目的而构建的工具,你可以查看系统挖掘。 这是打包在 artful 和其他 Ubuntu 版本中

Sydig 是一款开源、跨平台、功能强大且灵活的 Linux 系统监控、分析和故障排除工具。它可用于系统探索和调试。

您可以执行sysdig -c spy_users以显示用户以交互方式启动的每个命令以及用户访问的每个目录。

您还可以使用它spy_port来显示使用给定的 IP 端口号交换的数据。

希望这可以帮助。

相关内容