Monitorear actividad de usuarios con comando acct

Todos los que administramos servidores sabemos que debemos tener un control o al menos supervizar de forma frecuente toda actividad que otros usuarios hagan en el servidor, formas de llevar un control sobre los usuarios hay varias, hoy les mostraré una aplicación que nos ayudará con esto: acct

Nota, todos los comandos siguientes serán ejecutados como root, por eso la falta del sudo

Para instalarla ya saben, instalen el paquete acct, en distros como Debian o derivadas:

apt-get install acct

Una vez se instale, vamos a asegurarnos de que el daemon está activo:

service acct start

En distros que usen systemd sería:

systemctl start acct

Bien, ya está instalado y funcionando. ¿y ahora qué? 🙂

Tenemos muchas opciones ahora, o mejor dicho, muchos comandos nuevos. Por ejemplo:

Comando ac

El comando ac nos brinda información de tiempo de conexión, si lo ejecutamos sin parámetros nos dirá el tiempo que estuvieron loggeados usuarios en el sistema.

Si lo ejecutamos con el parámetro -d nos lo dividirá en días, o sea:

ac-parametro-d

Mientras que el parámetro -p nos lo divide en usuarios:

ac-parametro-p

Y si desean mezclar los resultados, podemos ver el tiempo de conexión de cada usuario dividido por días con el comando: ac -d el_usuario

ac-parametro-p-d

Comando sa

Este comando nos muestra como tal otros comandos ejecutados por otros usuarios, por ejemplo:

sa -u

Esto nos mostrará los últimos comandos ejecutados por cualquier usuario del sistema:

sa-parametro-u

Comando lastcomm

Este comando nos muestra los últimos comandos ejecutados por cada usuario, por defecto nos mostrará los últimos comandos de todos los usuarios, pero obviamente podemos indicarle que nos muestre solo los comandos de determinado usuario, por ejemplo:

lastcomm root

lastcomm-usuario-root

Y también podemos buscar en vez de por usuario, buscar por comando:

lastcomm COMANDO

O sea:

lastcomm touch

lastcomm-comando

Y aquí ya termino de hablar de los comandos que tendremos disponibles si instalamos el paquete acct

Como dije al inicio, hay varias formas de saber qué hace o deja de hacer un usuario en el sistema, también podemos siempre revisar el .bash_history de su home pero, como algunos deben saber se puede borrar el contenido del historial por lo que, este método que les presento acá puede ser bien efectivo comparado con otros 😉

Saludos


10 comentarios, deja el tuyo

Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: Miguel Ángel Gatón
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.

  1.   Jesus Israel Perales Martinez dijo

    esta muy bueno esto, lo probare

  2.   msx dijo

    Uff, chiché bombón, no lo conocía, grande KZ!

    1.    msx dijo

      ERRATA: chiche 😉

      Posiblemente les interese esta otra herramienta similar a acct pero orientada al uso de red de cada usuario logueado: http://www.pmacct.net/

    2.    KZKG^Gaara dijo

      Thanks, intento poner cosas interesantes … hoy tengo preparado otro post muy bueno 😀

  3.   clow_eriol dijo

    Muy interesante 🙂

  4.   Pablo dijo

    Ahhh… el terminal… no hay con qué darle…

    1.    taregon dijo

      Solo queda aprender los comandos y usarlos.

      1.    eliotime3000 dijo

        Eso es cierto.

  5.   eliotime3000 dijo

    Lo bueno de GNU/Linux es que no dependes de keyloggers ni nada por el estilo. Para eso está la terminal (aunque en sí es una herramienta de doble filo).

  6.   AurosZx dijo

    Voy a probarla 🙂 Para los Archeros, el paquete está en AUR como «acct».