Zablokovani uctu
Ondřej Surý
sury.ondrej na globe.cz
Středa Leden 23 14:46:57 CET 2002
masin na fzu.cz (Martin Masin) writes:
> On Wed, 23 Jan 2002, Josef Vodrblo wrote:
>
>> Zdravim.
>> Mam tu Debiana a potrebuju zablokovat uzivatelske ucty. Ten clovek tam byl
>> admin a ja nevim, jestli tam nema nejaka zadni vratka (v podobe dalsich
>> kont..) tak potrebuju:
>> 1) Vypsat prave prihlasene uzivatele (abych si byl jist, ze tam neni)
>> w, who - vidi i roota? Je moznost, ze by se tomuto vypisu skryl?
>
> w ani who nevypisuje roota, je ale mozne si napr. pomoci ps nebo
> top vypsat procesy ktere spustil root a pak usoudit, ktere procesy jste
> spustil jako root vy a ktere nekdo jiny. Pokud ovsem predchozi admin nejak
> upravil top, ps a pod, tak na nic neprijdete a mate lepsi to cele
> preinstalovat.
druid:~# w
14:44:08 up 48 min, 3 users, load average: 0.08, 0.19, 0.35
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
ondrej pts/0 :0 13:58 4:58 0.19s 0.17s ssh root na intra
ondrej pts/1 :0 14:29 0.00s 1.20s 0.03s ssh root na localhroot pts/2 me 14:44 0.00s 0.06s 0.02s w
^^^^ a jak mam rozumet tomuhle??? Prosim priste si to alespon vyzkousete
nez napisete takovou koninu.
>> 2) Vypsat uzivatele, kteri jsou na tom Linuxu zavedeni
>
> Soubor /etc/passwd. Uzivatele s UID < 1000 nejsou normalni
> uzivatele, tyto UID jsou vyhrazene pro ftp, nobody a pod.
poucka s UID je pouze konvence, jedine vyhrazene (tedy specialni) UID je 0.
>> event. 4) Prohlednout si log, kdy ten ktery uzivatel byl naposledy
>> zalogovan.
>
> last, pripadne last | less.
Pokud vam bude nekdo hackovat mashinu jen tezko necha zaznam v last logu,
ale za prohlednuti to stejne stoji.
Nicmene doporucuju stroj preinstalovat, jinak si nemuzete byt jisty nikdy.
O.
--
Ondřej Surý - CIO Globe Internet s.r.o. http://globe.cz/
Tel: +420(2)35365000 Fax: +420(2)35365009 Pláničkova 1, 162 00 Praha 6
GPG fingerprint: CC91 8F02 8CDE 911A 933F AE52 F4E6 6A7C C20D F273
Další informace o konferenci Linux