Auditando acesso de usuários no Linux

Segue alguns comandos para análise da atividade de usuários no GNU/Linux.

Reporta logins recentes de usuários ou usuário específico:

# lastlog
lastlog -u nome_usuario OU lastlog

Exibe lista com últimos usuários que logaram no sistema:

# last

• -R = não exibe endereço remoto;
• -d = resolve endereço IP para nomes;
• -i = resolve nomes para endereço IP;
• -F = exibe mais detalhes sobre os logins.

Exibe usuários logados no sistema:

# who
root     pts/0        2016-08-07 09:58 (192.168.56.1)

Exibe usuários logados no sistema e o que estão fazendo:

# w

10:58:35  up     1:02,         2 users,  load average: 0,00,  0,01,  0,02
USER      TTY    FROM          LOGIN@    IDLE          JCPU   PCPU   WHAT
root      pts/0  192.168.56.1  09:58     2.00s         0.39s  0.00s  w
rafael    pts/1  vbox          10:58     10.00s        0.04s  0.00s  top

Exibe processos de usuários/grupos ou usuário/grupo específico:

# ps

• -l = exibe mais detalhes
• -u = determinar usuário
• -g = determinar grupo

# ps -l -y -u rafael

S  UID   PID   PPID  C  PRI  NI RSS   SZ WCHAN  TTY     TIME     CMD
S  1000  4709  4707  0  80   0  1840  17308 -   ?       00:00:00 sshd
S  1000  4710  4709  0  80   0  3240  5136 -    pts/1   00:00:00 bash
S  1000  4794  4710  0  80   0  1508  5795 -    pts/1   00:00:00 top

Exibe arquivos sendo utilizados por usuários ou usuário específico:

# lsof

Exemplo:

# lsof -u rafael

COMMAND  PID   USER    FD   TYPE   DEVICE SIZE/OFF   NODE    NAME
sshd     4709  rafael  cwd  DIR    8,1    4096       2       /
sshd     4709  rafael  rtd  DIR    8,1    4096       2       /
sshd     4709  rafael  txt  REG    8,1    521576     1060859 /usr/sbin/sshd

Procura e envia sinais a processos usando username, expressão regular, etc.:

# pkill

# pkill -KILL ---echo -u rafael (desconecta usuário "rafael" e exibe em stdout)

# pkill -KILL --echo -u rafael sshd (mata todos os processos de "rafael" que contenha a expressão sshd e exibe em stdout)