- Home »
Urmăriți activitatea utilizatorilor cu whois, w și last
Cuprins
- Despre articol – De ce să urmărești activitatea utilizatorilor?
- Situație reală: Atacul fantomă de la 3:00 noaptea
- Problema – De ce contează acest subiect?
- Cum funcționează whois, w și last? Algoritmi, structură, instalare rapidă
- Cazuri de utilizare și beneficii
- Cum să setezi totul rapid – Ghid pas cu pas
- Mini Glosar cu Definiții Pe Înțeles
- Exemple și cazuri – Pozitiv vs Negativ (Tabel Comic)
- Greșeli de începător, mituri, alternative și arbore de decizie
- Statistici, comparații, utilizări neconvenționale
- Automatizare & scripting – Noi oportunități
- Poveste scurtă: Adminul și misterul utilizatorului nevăzut
- Concluzie – Recomandări practice
Despre articol – De ce să urmărești activitatea utilizatorilor?
Dacă ai un server VPS, un server dedicat sau rulezi containere Docker pentru clienți sau proiecte personale, știi deja: monitorizarea activității utilizatorilor nu este doar „nice to have”, ci devine rapid crucială.
Acest articol este pentru toți cei care doresc să aibă control, să știe cine, când și de ce se conectează la serverele lor – fie că e vorba de un developer solo, un sysadmin cu experiență sau un devops care jonglează cu zeci de instanțe cloud.
Vei afla cum să folosești whois, w și last – 3 unelte legendare, dar adesea subestimate, pentru a monitoriza cine intră și ce face pe serverele tale. Și, bonus, o să vezi cum să le combini cu mici scripturi pentru super-puteri extra!
Situație reală: Atacul fantomă de la 3:00 noaptea
Imaginează-ți: e 3 dimineața, primești un alert de pe serverul tău dedicat. Cineva se conectează și rulează comenzi necunoscute. Panică. Cine e? De unde? Ce face? Cum afli rapid răspunsurile, fără să pierzi timp prețios? Aici intervin uneltele clasice, dar mereu actuale: whois, w și last.
Problema – De ce contează acest subiect?
- Securitate: Ai nevoie să știi cine s-a conectat, când și de unde, pentru a preveni sau reacționa la breșe de securitate.
- Audit și responsabilitate: Fiecare utilizator lasă urme, iar tu trebuie să le poți urmări, mai ales dacă serverul găzduiește date sensibile sau clienți externi.
- Debugging rapid: Cine a modificat acel fișier de config? Cine a repornit serviciul de producție? Răspunsul stă în loguri și în monitorizarea activității userilor.
Acest ghid nu e doar pentru „paranoici”, ci pentru oricine vrea să fie cu un pas înaintea problemelor.
Cum funcționează whois, w și last? Algoritmi, structură, instalare rapidă
whois – Cine e după IP?
whois e ca Sherlock Holmes al internetului: îi dai un IP sau un domeniu, îți spune cine e proprietarul, unde e localizat și ce ISP folosește. Practic, te ajută să identifici sursa unei conexiuni suspecte.
w – Cine e online ACUM?
w e ca o cameră de supraveghere live: vezi toți utilizatorii conectați, de unde s-au logat, de cât timp sunt activi și ce procese rulează. Ideal pentru a prinde în flagrant un user curios sau un proces dubios.
last – Cine a fost aici?
last e arhivatorul: arată cine s-a logat în trecut, când, cât a stat și de unde. Practic, e jurnalul de bord al serverului tău.
Toate aceste unelte citesc logurile de sistem (ex: /var/log/wtmp, /var/log/btmp) și afișează datele într-un format ușor de parcurs.
Instalare rapidă
- Pe majoritatea distribuțiilor Linux,
wșilastvin preinstalate (parte din pachetulutil-linux). whoispoate fi instalat simplu:
sudo apt install whois(Debian/Ubuntu)
sudo yum install whois(CentOS/RHEL)
Cazuri de utilizare și beneficii
- Audit de securitate: Cine a încercat să se conecteze cu userul root?
- Monitorizare utilizatori activi: Cine lucrează pe server chiar acum?
- Identificare sursă atac: Cine a făcut brute-force la SSH?
- Debugging: Cine a repornit accidental un serviciu?
- Optimizare resurse: Vezi cine consumă CPU/RAM în timp real.
Cum să setezi totul rapid – Ghid pas cu pas
- Instalează pachetele necesare
sudo apt update && sudo apt install whois - Verifică cine e online ACUM
wVezi user, terminal, IP, comanda activă, idle time etc.
- Vezi cine s-a conectat RECENT
lastPoți filtra după user:
last root - Identifică IP-ul suspect
whois 192.168.1.100Îți arată cine e ISP-ul, țara, detalii administrative.
- Pune totul cap la cap într-un script rapid
#!/bin/bash
echo "Useri activi:"
w
echo "Ultimele logări:"
last | head -n 10
echo "Detalii IP-uri suspecte:"
for ip in $(last | awk '{print $3}' | grep -vE '^[a-zA-Z]' | sort | uniq); do
echo "Whois pentru $ip:"
whois $ip | grep -Ei 'OrgName|Country|netname|descr|person'
done
Salvează ca
audit.sh, rulează cubash audit.sh.
Mini Glosar cu Definiții Pe Înțeles
- TTY: Terminalul de pe care s-a logat userul (ex: pts/0 = SSH remote, tty1 = local)
- Idle: De cât timp userul nu a mai tastat nimic
- PID: Process ID – identificatorul procesului activ
- IP: Adresa de unde s-a conectat userul
- whois: Cine e proprietarul unui IP sau domeniu?
Exemple și cazuri – Pozitiv vs Negativ (Tabel Comic)
Imaginați-vă un tabel ca doi super-eroi: Detectivul W și .
Fiecare are super-puteri diferite:
- 🕵️ Detectivul W (w): Prinde infractorii în flagrant. „Cine e online ACUM?”
- 👨✈️ Inspectorul Last (last): Rezolvă cazuri vechi. „Cine a fost aici, când și cât a stat?”
- 🔍 Agentul Whois (whois): Face profiling la suspecți. „Cine e în spatele acestui IP?”
Exemplu pozitiv:
🕵️ „Userul dev1 e online de 2h, rulează top, vine de pe IP-ul firmei.”
Exemplu negativ:
👨✈️ „Userul root s-a logat la 3:00AM de pe un IP din China. Suspicios!”
Greșeli de începător, mituri, alternative și arbore de decizie
- Mit: „Doar logurile SSH sunt suficiente!” – FALS. Nu vezi userii activi sau sursa IP-urilor fără w/last/whois.
- Greșeală: Să nu verifici niciodată logurile. Atacatorii pot sta zile întregi fără să fie observați.
- Alternativă: Folosește sudo pentru a monitoriza comenzile rulate cu drepturi de root sau fail2ban pentru a bloca bruteforce SSH.
Arbore decizie: Folosește „W”/„Last”/„Whois” dacă…
- ➡️ Vrei să vezi cine e online? → w
- ➡️ Vrei să vezi cine a fost online, când, cât? → last
- ➡️ Vrei să afli cine e în spatele unui IP? → whois
- ➡️ Vrei monitorizare avansată, alerting? → Caută OSSEC sau Snort
Statistici, comparații, utilizări neconvenționale
- Statistică: 90% dintre breșele de securitate la servere mici sunt detectate prea târziu, pentru că nu se monitorizează activitatea userilor.
- Comparație: Unelte moderne (ex: SIEM, Splunk) sunt costisitoare și complexe. w, last, whois sunt gratuite, rapide și ușor de folosit.
- Utilizare neconvențională: Poți folosi
lastpentru a verifica dacă membrii echipei chiar lucrează remote sau pentru a măsura timpul de lucru efectiv pe server.
Automatizare & scripting – Noi oportunități
Cele trei unelte pot fi combinate în scripturi automate pentru audit, alertare sau raportare periodică. Exemplu:
#!/bin/bash
# Script de alertă la conectare user root
if last | grep -q 'root'; then
echo "ALERTĂ: Cineva s-a conectat cu root!" | mail -s "Root login detected" admin@domeniu.tld
fi
Poți integra aceste scripturi cu cron pentru raportare automată sau cu webhook-uri către Slack/Teams.
Poveste scurtă: Adminul și misterul utilizatorului nevăzut
Adminul „Ion” primește un telefon panicat: „Serverul merge greu, cineva umblă la fișiere!”. În 2 minute, Ion rulează w: vede un user necunoscut, conectat de pe un IP exotic. Cu whois află că IP-ul vine de la un provider obscur din Rusia. Rulează last și vede că s-a conectat la 2:47AM. Blochează IP-ul, schimbă parolele, verifică logurile. Serverul e salvat. „Fără w, last și whois, aș fi fost orb”, recunoaște Ion.
Concluzie – Recomandări practice
- Folosește w pentru a vedea cine e online ACUM. Ideal pentru debugging rapid.
- Folosește last pentru audit și verificarea conectărilor anterioare.
- Folosește whois pentru a identifica IP-uri suspecte.
- Automatizează totul cu scripturi simple și rapoarte periodice.
- Nu lăsa monitorizarea pe „mai târziu” – previne problemele, nu doar reacționează la ele!
Dacă ai nevoie de un VPS sau server dedicat pentru proiecte serioase, asigură-te că ai la îndemână aceste unelte de bază. Monitorizarea activității utilizatorilor este primul pas către un server sigur și stabil!
