前回に引き続きスカイアーチネットワークスで定例コマンドと呼んでいる物をご紹介致します。
3. w
目的
下記を重点的に確認
- 現在ログインしているユーザ
- システム起動後の稼働時間 (up xxx days の部分)
- 負荷状況 (load average の部分)
実行結果
1 2 3 4 |
# w 18:55:34 up 423 days, 6:00, 1 user, load average: 0.20, 0.07, 0.02 USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT hoge pts/1 192.168.0.2 18:55 0.00s 0.01s 0.00s w |
詳細
- 現在ログインしているユーザ
自分以外のアカウントがログインしていれば他に作業を行っている事が考えられるため、必ず確認を行う。 - システム起動後の稼働時間 (up xxx days の部分)
正常な稼働時間を示しているかを確認
監視間隔/閾値を含め、必要最小限の監視を行っている状態ではサーバの再起動等に気付けない可能性があるため。 - 負荷状況 (load average: の部分)
あくまでも目安としてですが、
4. last
目的
直近のログインユーザーを確認する。
実行結果
1 2 3 4 |
# last -20 (20件の履歴を出力する) hoge pts/1 192.168.0.2 Wed Jan 7 18:55 still logged in fuga pts/1 192.168.0.3 Wed Jan 7 16:54 - 16:55 (00:00) foo ftpd7227 192.168.0.4 Tue Jan 6 10:23 - 11:04 (00:40) |
詳細
考えられる範囲でのユーザ/サービス/IPアドレス/頻度でユーザログインが行われているかを確認
- 他のユーザ作業起因の可能性(障害発生タイミングでログインして作業されていないか等)
- クラッキング等被害に合っている可能性(様々なIPからログインされていないか等)
仮に他のユーザがログインしており何をしているか調査したい場合は、straceコマンドがインストールされていれば
下記のような方法で可能です。
http://www.atmarkit.co.jp/fsecurity/rensai/securitytips/012strace.html