E sobre
pstree -lnu | less
ou
pstree -lnupa | less
Procure por sshd ou por nome de usuário na saída.
Como posso encontrar um processo iniciado a partir de alguma sessão ssh?
Por exemplo, eu dei o mesmo ssh cridentials (aka. userzxc / passwordzxc) para meus vários amigos que IPs já conheço.
Meu objetivo é descobrir o link entre a sessão ssh especial e algum processo em execução / iniciado para controlar quem poderia derrubar / travar / destruir / etc. serviços na minha máquina.
Obrigado.
E sobre
pstree -lnu | less
ou
pstree -lnupa | less
Procure por sshd ou por nome de usuário na saída.
Cada usuário deve ter suas próprias credenciais, por isso é apenas uma questão de exibir todos os processos de um determinado usuário. Se você tiver um ID de processo, poderá saber qual usuário o iniciou executando ps -Af e procurando na coluna "USER" (muitas outras combinações de opções listarão essas informações, verifique a página ps man em seu sistema). Dado um usuário bob , ps -u bob listará todos os processos desse usuário. Se você quiser ver quais processos estão sendo executados no seu sistema, o htop é um prático explorador interativo de processos.
O comando who lista sessões ativas. Para sessões SSH, ele lista o endereço IP original. Você pode encontrar mais informações nos logs do sistema (o local depende da sua distribuição, por exemplo /var/log/auth.log no Debian com SysVinit). Os comandos last e lastcomm (parte do pacote acct , muitas vezes não instalado por padrão) fornece algumas informações sobre sessões anteriores.