Tenemos unaLinuxinstancia ec2.
Uno de nosotrosiniciado sesión en nuestro ec2y ejecutó un comando, digamos python --version
.
Sé la fecha y hora en que ejecutaron este comando.
Ahora, ¿hay alguna manera de encontrar la IP desde la que iniciaron sesión en nuestro ec2 y ejecutar este comando?
PD: Cambiamos a un usuario en particular para ejecutar comandos, específicamente para ese directorio.
Respuesta1
Si configuras algo comosnoopy antemanoentonces podrá correlacionar la IP con el TTY y con el comando.
Pero tenga en cuenta que debe hacerse.antesla actividad y puede inhibirse con relativa facilidad si alguien desea ocultar sus acciones.
Sin embargo, aún puede tener suerte: verifique el resultado del last
comando para ver quién inició sesión y desde dónde. Si solo había un usuario conectado en el momento en que se ejecutó el comando, posiblemente sea su usuario/IP.