여기소개되는 툴은 whowatch 1.4로 시스템에 현재 로그인한
유저가 어떤명령을 실행하는지 알수있게 pstree + ps +kill의 기능을 가진 유용한 프로그램입니다.
링크에서 받은파일을 설치후 whowatch를 실행하면
아래와 비슷할겁니다.
1 users: (0 local , 0 telnet , 1 ssh , 0 other) load: 0.00, 0.02
(ssh) EcusE pts/4 free-machine.free4u whowatch
현재 로그인한 유저의 리스트가 보입니다.
그 상태에서 엔터를 누르면 pstree상태로 login shell과 하위에 생성된 프로세스를
볼수있습니다.
프로그램실행후 화면하단에 보면 사용가능한 명령을 보여주니 사용법이 까다롭지도
않지요..
enter - users, c - cmd, t - init, o - owner, ^I - send INT, ^K - send KILL
여기서 주목할만한게 바로 term kill signal을 보내 유저를 죽일수있다는게
참 매력적이죠^^
여러명의 유저가 로그인했을때엔 리스트로 현재 로그인한 유저를 보여줍니다.
도데체 이넘(??)이 서버에 와서 무얼하는지 .bash_history파일만으로는
알기가 힘듭니다.(mc같은 외부쉘을 써서 작업을 한다면 history파일은
무용지물에 불과하게 될수도 있겠죠)
그럴때 이프로그램을 사용해보세요..
단.. 너무 유저를 괴롭히지는 마시길.. Array
첨부파일은 whowatch-1.4-1 rpm버전입니다.홈페이지에 방문하시면
소스도 받을수 있습니다.
'Security' 카테고리의 다른 글
| Abnormal IP Packets (0) | 2002.04.19 |
|---|---|
| SSH CRC32보안취약점에 관한... (1) | 2002.04.17 |
| LIDS (Linux Intrusion Detection System) (5) | 2002.04.11 |
| procmail-sanitizer (email scanner) (3) | 2002.03.31 |
| zlib 보안취약점 (2) | 2002.03.14 |