한 가지 방법은 예 fuser를 들어 의사 터미널 장치에 명령을 적용하는 것입니다 ./dev/ptssudo fuser -v /dev/pts/*

예를 들어 Linux 시스템에 로그인하여 user1실행한 다음 다른 터미널을 통해 다시 로그인했습니다 sudo su user2. user1을 실행한 후 sudo fuser -v /dev/pts/*다음과 같은 출력을 얻습니다.

             USER        PID  ACCESS COMMAND
/dev/pts/0:  user1       5533 F....  bash
             root        6291 F....  sudo
/dev/pts/1:  user1       5655 F....  bash
             root        5748 F....  sudo
             root        5752 F....  su
             user2       5753 F....  bash

여기서 두 번째 출력 블록( 에 해당)을 보면 으로 전환된 것을 /dev/pts/1알 수 있습니다 . 이 방법에 대한 자세한 내용은 다음 게시물을 확인하세요.user1user2의사 단말 장치의 반대편에 누가 있는지 어떻게 알 수 있나요?

로그인 정보는 /var/log/secure 파일(red hat\centos) 또는 /var/log/auth.log(debian\ubuntu)에 표시되며 로그인 정보 형식에는 "session opening for" 줄 텍스트가 포함됩니다. 이므로 cat /var/log/(secure OR auth.log) | grep "session opened for"다음 로그인 목록이 제공됩니다.

Jan 9 07:07:07 호스트 이름 su:pam_unix(su:session): 사용자 user1에 대해 user2(uid=2000)가 연 세션

ps aux | grep username'사용자 이름'으로 실행되는 쉘이 나열되어야 합니다. 이는 '사용자 이름' 활동을 확인하는 빠른 방법이며, '사용자 이름' 활동을 찾을 것으로 예상하지 않는 경우 매우 눈에 띕니다. 그러나 이는 "사용자 이름"으로 로그인한 사람이 누구인지 알려주지 않으므로 로그 파일을 참조해야 합니다.

많은 수의 사용자에게는 이러한 확인이 번거로울 수 있습니다. 모든 프로세스 대신 사용자를 확인하는 것과 같은 것이 있었으면 좋겠지 ps -eo ruid,euid만 그렇게 간단하지 않다는 것을 알았습니다.

솔루션 조사:

누가 서비스 계정을 통해 서버를 공격하고 있는지 확인하려고 하면 이 문제가 발생했습니다.

sudo서비스 계정에 들어가서 확인함으로써 사용자 ~/.ssh/authorized_keys를 식별하고 사용에 대해 논의할 수 있었습니다.

어쨌든, 이것이 문제를 해결한 방법이고 작동합니다...