সংযুক্ত প্রতিটি নতুন ব্যবহারকারী sshd
একটি নির্দিষ্ট পিআইডি দিয়ে একটি নতুন সেশন তৈরি করে। আপনি pstree
কোন sshd
অধিবেশনটি কোন অধিবেশন থেকে উত্তরাধিকারসূত্রে প্রিন্ট করতে ব্যবহার করতে পারেন এবং তারপরে এই পিআইডিটি চেক করুন /var/log/auth.log
।
উদাহরণ (নামবিহীন): আমি একই দূরবর্তী ব্যবহারকারীর সাথে 3 একযোগে অধিবেশন সহ একটি রিমোট সার্ভারে লগ ইন করেছি। আমি এখন জানতে চাই যে ক্লায়েন্টটি কোন আইপি থেকে কমান্ডটি চালিয়েছিল watch date
।
$ pstree -p | grep watch
| |-sshd(15243)---sshd(15342)---bash(15343)---watch(15450)
$ sudo grep 15243 /var/log/auth.log
Mar 7 15:37:29 XXXXXXXXXX sshd[15243]: Accepted publickey for XXXXXXXXXX from 12.34.56.78 port 48218 ssh2
Mar 7 15:37:29 XXXXXXXXXX sshd[15243]: pam_unix(sshd:session): session opened for user XXXXXXXXXX by (uid=0)
Mar 7 15:37:44 XXXXXXXXXX sudo: XXXXXXXXXX : TTY=pts/7 ; PWD=/home/XXXXXXXXXX ; USER=root ; COMMAND=/bin/grep 15243 /var/log/auth.log
pstree -p
অনুষ্ঠান watch
হুকুম থেকে উত্তরাধিকারসূত্রে হয় sshd
PID, 15243. সঙ্গে grep
এই PID, জন্য ING /var/auth/auth.log
দেখায় যে এটা আইপি 12.34.56.78 এই সেশন শুরু হয়েছে। সুতরাং এটি ব্যবহারকারী যে শুরু watch
।
history
বিশেষত এই ব্যবহারকারীর সন্ধানের জন্য, যখন সমস্ত দূরবর্তী ব্যবহারকারীরা একই স্থানীয় এসএসএইচ ব্যবহারকারীকে ব্যবহার করছেন তখন আমি যা দেখতে পাচ্ছি তা থেকে এটি করা যাবে না। এছাড়াও, এটি সহজেই ছদ্মবেশী / নিষ্ক্রিয় / ইত্যাদি হতে পারে, সুতরাং এটি সত্যই নির্ভরযোগ্য নয়। এটি যদি ইতিহাসের ফাইলে সংরক্ষণ করা হয় তবে আপনি কেবল cp
কমান্ডটি সন্ধান করতে পারেন এবং ফাইলটিতে পিছনের দিকে তাকিয়ে থাকতে পারেন, তবে এটি যদি না থাকে, তবে করার মতো অনেক কিছুই নেই।
grep: /var/log/auth.log: No such file or directory
:-(