Linux用户活动

Ax 登录用户活动信息

a 我是谁

获取当前终端用户

whoami 相当于 id -un

b 还有谁

除了本终端，所有登入该Linux的终端用户

who、w、users

啊！不是吧，有一个hacker登入，完了完了，我被黑了😭

哈哈，🐶其实是我自己创建的用户

出现了重复的，可以用sort和uniq过滤

users | tr ' ' '\n' | sort | uniq

c 系统运行时间

uptime

我们用正则表达式提取运行时间，这个命令利用了perl和grep风格的正则来提取冒号分隔的3组两位数字。

uptime | grep -Po '\d{2}\:\d{2}:\d{2}'

d 用户登入历史

last

获取单个用户的指定一个用户就可以了

last USER

获取重启会话信息

last reboot

e 获取失败的登入信息

lastb ：是谁！在那乱搞

比如，我们使用一个没有的用户进行登入尝试。

Bx 通过监视用户找出入侵者

使用一个脚本实现一个入侵检测系统，哇！⭐我现在做的好像我小时候搞一些小发明的那种感觉，虽然在电脑上，但也感觉像是发明一些东西去解决一些问题，代替人工。我可喜欢看我爱发明了，以前我还说长大了当一个发明家呢，不过我想，现在正在做的，正是这个事情，以后如果有能力了，写编程控制机器，比以前用电路控制高级多了，哈哈。

加油吧。

#! /bin/bash
# 入侵检测报告工具

AUTHLOG=/var/log/auth.log

if [[ -n $1 ]];
then
    AUTHLOG=$1
    echo Using Log file : $AUTHLOG
fi

LOG=/tmp/valid.$$.log
grep -v "invalid" $AUTHLOG > $LOG
users=$(grep "Failed password" $LOG | awk '{ print $(NF-5) }' | sort | uniq)

printf "%-5s|%-10s|%-10s|%-14s|%-33s|%s\n" "Sr#" "User" "Attempts" "IP  address" "Host_Mapping" "Time range"

ucount=0;

ip_list="$(egrep -o "[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+" $LOG | sort | uniq)"

for ip in $ip_list;
do
    grep $ip $LOG > /tmp/temp.$$.log
for user in $users;
do
    grep $user /tmp/temp.$$.log> /tmp/$$.log
    cut -c-16 /tmp/$$.log > $$.time
    tstart=$(head -1 $$.time);
    start=$(date -d "$tstart" "+%s");
    tend=$(tail -1 $$.time);
    end=$(date -d "$tend" "+%s")

    limit=$(( $end - $start ))

    if [ $limit -gt 120 ];
    then
        let ucount++;

        IP=$(egrep -o "[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+" /tmp/$$.log | head -1 );
        TIME_RANGE="$tstart-->$tend"

        ATTEMPTS=$(cat /tmp/$$.log|wc -l);

        HOST=$(host $IP | awk '{ print $NF }' )

    printf "%-5s|%-10s|%-10s|%-10s|%-33s|%-s\n" "$ucount" "$user" "$ATTEMPTS" "$IP" "$HOST" "$TIME_RANGE";
    fi
done
done

rm /tmp/valid.$$.log/tmp/$$.log $$.time/tmp/temp.$$.log 2>/dev/null

执行结果

默认执行/var/log/auth.log下的文件信息，当然也可以加一个文件作为参数。

入侵检测工具汉化版

该工具已经开源，可以在GitHub上查看哦。传送门：Whoamifuck2

Cx 找出系统中用户的活跃时段

编写脚本

# !/bin/bash
# 查找活跃的用户

log=/var/log/wtmp

if [[ -n $1 ]];
then
    log=$1
fi

printf "%-4s %-10s %-10s %-6s %-8s\n" "Rank" "User" "Start" "Logings" "Usage hours"

last -f $log | head -n 2 > /tmp/ulog.$$

cat /tmp/ulog.$$ | cut -d ' ' -f1 | sort | uniq> /tmp/users.$$
(

while read user;
do
    grep ^$user /tmp/ulog.$$ > /tmp/user.$$
    minutes=0

    while read t
    do
        s=$(echo $t | awk -F: '{ print ($1 * 60) + $2 }')
        let minutes=minutes+s
    done< <(cat /tmp/user.$$ | awk '{ print $NF }' | tr -d ')(')

    firstlog=$(tail -n 1 /tmp/user.$$ | awk '{ print $5,$6 }')
    nloging=$(cat /tmp/user.$$ | wc -l)
    hours=$(echo "$minutes / 60.0" | bc)

    printf "%-10s %-10s %-6s %-8s\n" $user "$firstlog" $nlogings $hours
done< /tmp/users.$$

) | sort -nrk 4 | awk '{ printf("%-4s %s\n", NR, $0) }'
rm /tmp/users.$$ /tmp/user.$$ /tmp/ulog.$$

运行结果

Dx 参考

[1] 《Linux Shell脚本攻略》第二版 Shantanu Tushar\Sarath Lakshman 著