Безопасность серверов VMware ESX / ESXi – информация о пользователях и их действиях. Безопасность серверов VMware ESX / ESXi – информация о пользователях и их действиях. Автор: Александр Самойленко Дата: 16/04/2009 Реклама: Статья:

Компания VMware рекомендует не использовать доступ к ESX / ESXi по протоколу SSH без необходимости. Мало того, доступ по SSH к ESXi официально не поддерживается. Тем не менее, такая необходимость очень часто есть, в связи с настройкой из командной строки сервисной консоли самой платформы и виртуальных машин, а также использованием агентов сторонних разработчиков.

Сегодня мы расскажем о том, какие средства на ESX можно использовать для определения того, какие пользователи в данный момент залогинены, чем они занимаются и как узнать, какова ранее была их активность.

Итак, какими инструментами можно пользоваться через командную строку сервисной консоли:

1. Команда w (одна буква). Эта команда выводит список вошедших в систему пользователей и что они сейчас делают. Например:

   # w
13:38:57 up 88 days, 12:38, 3 users, load average: 0.06, 0.12, 0.16
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root pts/1 10.0.0.12 Mon 1pm 45:39m 0.17s 0.17s -bash
username pts/2 myname-laptop.do 12:12pm 0.00s 0.06s 0.01s sshd: username [priv]
root pts/3 hostname.domain. Sun 6pm 3days 0.05s 0.05s -bash

2. Команда last. Выводит список пользователей, входивших и выходивших из системы в течении того времени, пока существовал файл var/log/wtmp. Для получение сведений с момента последней перезагрузки используйте команду last reboot. Пример:

   # last
username pts/2 myname-laptop.do Thu Apr 3 12:12 still logged in
root pts/2 myname-laptop.do Thu Apr 3 11:25 - 11:40 (00:14)

3. Команда who. Выводит список пользователей, залогиненных на ESX. Например:

   # who
root pts/1 Mar 31 13:52 (10.0.0.12)
username pts/2 Apr 3 12:12 (myname-laptop.domain.com)
root pts/3 Mar 30 18:48 (hostname.domain.com)

4. Команда fuser. Эта команда позволяет закрыть сессии пользователей, которые определяются командой last или w как открытые. По сути это разлогинивание пользователя. Например:

   # w
13:50:54 up 88 days, 12:50, 3 users, load average: 0.52, 0.40, 0.24
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root pts/1 10.0.0.12 Mon 1pm 45:51m 0.17s 0.17s -bash
username pts/2 myname-laptop.do
12:12pm 0.00s 0.05s 0.01s sshd: username [priv]
root pts/3 hostname.domain. Sun 6pm 3days 0.05s 0.05s -bash

# fuser -k /dev/pts/1
/dev/pts/1 1699

# w
username pts/2 myname-laptop.vm
12:12pm 0.00s 0.05s 0.01s sshd: username [priv]
root pts/3 hostname.domain. Sun 6pm 3days 0.05s 0.05s -bash

5. Файлы /var/log/messages и /var/log/secure. Эти файлы содержат информацию об удачных и неудачных попытках входа в систему. Чтобы найти, логинился на ESX по SSH (демон sshd) или через VI Client – VirtualCenter (демон vmware-authd), используйте grep:

   grep 'sshd' /var/log/messages* /var/log/secure*
grep 'vmware-authd' /var/log/messages* /var/log/secure*