SSH'da en son nerede ne yaptığınız işe ilgili çok ayrıntılı bilgilere ulaşmanız mümkün. Bu da "open source"'ın kaymağı birazda. Tabi bunlara herkesin erişmesi sistem yöneticileri için can sıkıcı olsa da çok yapacak birşyleri yok bu konuda.
En son hangi IP'den kendi oturumunuzu açıldığını merak ediyorsanız 2 adımda bu işlemi gerçekleştirebilirsiniz.
Unix tabanlı işletim sisteminizde logları listelemek için terminalde ls /var/log yazmanız yeterlidir. Bu aşamada günlük, haftalık gibi işletim sistemizin log tuttuğunu göreceksiniz. Bu logların içinde sistem log ları da var, bilgisiyarınızın nerden bağlandığı, hesabınız ile etkileşim yapan mail sunucuları, test sunucuları vs. tarzında işlemleri de görebilirsiniz. Geçen 2 tane test sunucusu yakaladım bilgi işleme haber verdiğimde 2sine de kapattılar örneğin.
Lastlog komutu kullandığımızda gerçekten çok fazla log çıkıyor. Bunları tek tek ayıklamanız mümkün değil bundan dolayı grep komutunu da ekleyebilirsiniz.
cat /var/log/lastlog | grep "mshowto*" gibi.
Screen Shot 2012-12-17 at 7.49.47 PM.jpg
Benim en çok kullandığım komut ise
cat /var/log/wtmp bu komut daha işe yarayan cinsten. Sistem yöneticilerinin canını sıkan dediğim olayda bu komut daha çok. Active directory sisteminizde bu komutu kullanarak giren arkadaşlar toplu gelen maillerin hangi IP'lerden ve hangi kullanıcılardan atıldığını görebiliyor. Bu da şu zafiyeti yaratıyor: kullanıcı diğer bilgisiyarlara remote desktop çekebiliyor. Çok büyük güvenlik zaaafiyeti yaratmasa da sistemde ama bana göre yine de bir güvenlik açığı. Hiç alakasız insanların kullanıcı adı ve IP'lerini bilmek belki bir şirkette bir sorun yaratmayabilir ama bir üniversite ağında sorunlar yaratabilir. Kullanıcı evinden remote desktop çekip maliye memurunun dosyalarını silebilir gece yada yedekleyebilir. Bundan dolayı eğer sistem yöneticiyseniz ssh'da /lastlog ve /wtmp 'i kullanıcılara kapatmanız.
Nolur nolmaz..