Здравствуйте, я пытаюсь выяснить, кто сделал последнюю перезагрузку на моем сервере.
Я знаю команды last reboot | head -1 и last -d reboot но они не показывают IP, с какого IP-адреса клиента это было сделано.
У меня есть сервер Linux CentOS7.
Я знаю, что это довольно трудно найти, но, может быть, кто-то может помочь, у меня сейчас нет никаких идей.
С уважением
Я бы посоветовал отследить первых пользователей, которые выдавали команду reboot , что можно сделать с помощью системы audit linux. Смотрите ответы здесь для деталей. Затем, когда вы знаете имя пользователя, вы можете перейти к отслеживанию IP.
Если сервер был перезагружен зарегистрированным пользователем последним | Команда last | less выдаст вам историю людей, вошедших в систему, время входа и IP-адрес подключенного устройства. Найдите время, когда сервер был перезагружен, и проверьте, кто вошел в систему в то время.
Если в то время было зарегистрировано несколько пользователей, и у вас есть root-доступ, вы можете проверить файлы .bash_history в каталогах профилей (для CentOS их нужно найти где-нибудь в /home например, если ваш сервер является частью домена /home /domain /username). ).
Если вы ищете команду "reboot" специально, я бы также отметил, что shutdown -r также перезагружает сервер, чтобы не быть пойманным.
