在 Ubuntu Artful 17 上,作为特权用户,我如何才能收到一封包含以下信息的电子邮件(可能每晚发送一次)
- 哪些 GET 请求被发送到端口 80
- 谁尝试 ssh 连接到端口 22
- “普通用户”通过 ssh 登录后
- 他们执行了哪些 shell 命令
- 他们尝试过 sudo 吗
- 他们是否尝试读取或删除 /home/otherother/* 文件
答案1
关于您的问题:
您可以在 Web 服务器日志中检查对端口 80 收到的所有请求。
- 在 Apache 中,其日志可以在以下地址找到,具体取决于 GNU Linux 发行版和版本。
/var/log/apache/access.log/var/log/apache2/access.log/var/log/httpd/access.log
- 在 Apache 中,其日志可以在以下地址找到,具体取决于 GNU Linux 发行版和版本。
关于检查您的 SSH 日志,请参考以下链接:
.bash_history您可以通过打开位于的文件来检查另一个用户执行的所有命令/home/<username>/.bash_history,另请记住,用户可以删除此日志文件。
执行后tail /var/log/auth.log | grep <username>应该会给你一个用户的 sudo 历史记录。
如果用户使用sudo -s、sudo su、sudo sh等命令生成了 shell,则执行的命令可能会出现在 root 用户的历史文件中,位于/root/.bash_history。
如果你想要一个为此目的而构建的工具,你可以查看系统挖掘。 这是打包在 artful 和其他 Ubuntu 版本中。
Sydig 是一款开源、跨平台、功能强大且灵活的 Linux 系统监控、分析和故障排除工具。它可用于系统探索和调试。
您可以执行sysdig -c spy_users以显示用户以交互方式启动的每个命令以及用户访问的每个目录。
您还可以使用它spy_port来显示使用给定的 IP 端口号交换的数据。
希望这可以帮助。