Ada berbagai cara yang bisa kita lakukan yang berkaitan dengan aktifitas user di sistem linux yang kita pelihara, hal ini biasanya penting untuk sistem linux yang digunakan rame-rame (multiuser).
Oke, berikut ini hal-hal yang biasa saya gunakan :
1. Begitu ssh, langsung liat last login, disitu ketauan IP mana yang terakhir kali masuk ke sistem kita :
Last login: Wed May 26 21:32:17 2010 from 125.166.xxx.xxx
2. Lihat user yang aktif dengan menggunakan w atau who
# w 01:28:49 up 3 days, 12:04, 2 users, load average: 0.00, 0.00, 0.00 USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT andri pts/0 125.166.xxx.xxx 01:25 0.00s 0.14s 0.00s w dki pts/1 118.98.xxx.xxx 01:26 2:35 0.10s 0.10s -bash # who andri pts/0 2010-05-30 01:25 (125.166.xxx.xxx) dki pts/1 2010-05-30 01:26 (118.98.xxx.xxx)
3. Bisa juga dengan ps aux
# ps aux |grep bash | grep pts andri 9297 0.0 0.0 6324 3636 pts/0 Ss 01:25 0:00 -bash dki 9371 0.0 0.0 6320 3576 pts/1 Ss+ 01:26 0:00 -bash
4. Lihat aktifitas terakhir dari semua user dengan lastlog
# lastlog Username Port From Latest root **Never logged in** daemon **Never logged in** bin **Never logged in** sys **Never logged in** sync **Never logged in** games **Never logged in** man **Never logged in** lp **Never logged in** mail **Never logged in** news **Never logged in** uucp **Never logged in** proxy **Never logged in** www-data **Never logged in** backup **Never logged in** list **Never logged in** irc **Never logged in** gnats **Never logged in** nobody **Never logged in** libuuid **Never logged in** syslog **Never logged in** landscape **Never logged in** bind **Never logged in** sshd **Never logged in** dki pts/1 118.98.xxx.xxx Sun May 30 01:26:01 +0700 2010 mysql **Never logged in** postfix **Never logged in** proftpd **Never logged in** ftp **Never logged in** vmail **Never logged in** clamav **Never logged in** amavis **Never logged in** andri pts/0 125.166.xxx.xxx Sun May 30 01:25:46 +0700 2010 statd **Never logged in** manapar **Never logged in**
5. Bisa juga dengan menggunakan tools bantu seperti finger, tapi harus diinstall terlebih dahulu.
# finger Login Name Tty Idle Login Time Office Office Phone andri Andri Nawawi pts/0 May 30 01:25 (125.166.xxx.xxx) dki DKI pts/1 10 May 30 01:26 (118.98.xxx.xxx)
Kalau ternyata melihat ada yang mencurigakan, bisa lihat aktifitas user yang bersangkutan dengan menggunakan perintah history :
# history
Trus apa lagi ya? Mmm, kalau mau liat daftar user &/ yang ada di sistem, bisa pake perintah :
# cat /etc/passwd# cat /etc/group
atau
# getent passwd # getent group
Udah, segitu dulu… Semoga Bermanfaat 😉