Выяснение IP, что сделало последнюю перезагрузку на Linux

433
TheTanadu

Здравствуйте, я пытаюсь выяснить, кто сделал последнюю перезагрузку на моем сервере.

Я знаю, что команды last reboot | head -1и, last -d rebootно они не показывают IP от того, что клиент IP это было сделано.

У меня есть сервер Linux CentOS7.

Я знаю, что это довольно сложно найти, но, может быть, кто-то может помочь, у меня сейчас нет никаких идей.

С уважением

1
Если это было сделано через `ssh`, загляните в` auth.log`, чтобы узнать, кто вошел в систему в это время. LawrenceC 6 лет назад 0
Это проблема, в которую я вошел и кто-то другой в то же самое время, и я не знал этого, и этот "кто-то" сделал "перезагрузку" ... и я хочу знать, какой у него IP TheTanadu 6 лет назад 0
IIRC этот файл сообщает вам IP-адреса тех, кто входит в систему. LawrenceC 6 лет назад 0
:inking: какой инструмент вы предлагаете использовать? Трудно найти что-то об инструментах IIRC TheTanadu 6 лет назад 0
Я обнаружил, что в `/ log / var /` у меня нет `auth.log` - я читал о том, что все передается в` / var / log / secure`, но там я ничего не смог даже `grep reboot` TheTanadu 6 лет назад 0
«IIRC» означает «если я правильно помню» gronostaj 6 лет назад 0

2 ответа на вопрос

1
John Smith

Я бы посоветовал отследить первых пользователей, которые дали rebootкоманду, что можно сделать с помощью auditсистемы linux . Смотрите ответы здесь для деталей. Затем, когда вы знаете имя пользователя, вы можете перейти к отслеживанию IP.

1
Gytis

Если сервер был перезагружен с помощью last | lessкоманды пользователя, вошедшего в систему, вы увидите историю людей, вошедших в систему, время входа в систему и IP-адрес подключенного устройства. Найдите время, когда сервер был перезагружен, и проверьте, кто вошел в систему в то время.

Если в это время было зарегистрировано несколько пользователей, и у вас есть права доступа root, вы можете проверить .bash_historyфайлы в каталогах профилей (например, CentOS должен быть найден где-то, /homeнапример, если ваш сервер является частью домена / home / domain / username).

Если вы ищете команду reboot специально, я бы также отметил, что она shutdown -rтакже перезагружает сервер, так что не попадайтесь в ловушку.

Похожие вопросы