ver quien se conecta a ubuntu

SyDA · 06-feb-2010, 11:03

Bueno quisiera ver un log o algo por el estilo de las ips que se conectan a mi pc.
Tengo ubuntu 9.10 64 bits, y tengo una carpeta compartida para que las pcs que tienen windows puedan verla, asi que si alguien puede ayudarme en este dilema les agradeceria mucho.

Salu2.

Ubuntero · 06-feb-2010, 13:15

sudo nano /var/log/auth.log

Nos vemos

Fuzer · 06-feb-2010, 18:46

Instala Esto

Cita:

sudo aptitude install whowatch

Whowatch es un programa interactivo que muestra información sobre los usuarios que están conectados al equipo en tiempo real. Además de los datos básicos como el nombre de usuario o los procesos del mismo, por poner unos ejemplos, también se indica el tipo de conexión (ssh, telnet, etc.). Y por si todo esto no fuera suficiente nos permite ver el árbol de procesos, navegar por él y enviar señales INIT y KILL.

mas info [Solo usuarios registrados pueden ver los links. ]

Ubuntero · 06-feb-2010, 18:55

Todo eso o puedes hacer desde consola sin instalar nada y con metodos sencillos pero es cosa de gustos no esta mal el programa..

Debian shell rulez..

A la antigua, siempre me a parecido mejor. Bueno cosa de debianitas.....

Nos vemos gracias por el aporte

ajr784 · 07-feb-2010, 09:08

La primer respuesta que se me vino a la cabeza fue netstat... luego vi la respuesta de Ubuntero y vi que era cierto, únicamente te sirve para ver quién está conectado, es decir que si alguien se conecta, pide archivo y se desconecta no lo ves y no te enterás de que se conectó, por eso, a lo mejor ver /var/log/auth.log sea lo mejor... ups!, cuidado habrá que ver si tu distro guarda ahí los logs de conexión.

Whowatch, puede ser una buena alternativa, pero uno debe siempre estar viendo (tiempo real a veces es bueno pero a veces no, imaginate que se termina tu hora de trabajo y aún puede haber gente que se conecte... te vas a quedar como tarado el resto de tu vida viendo?).

Cita:

Debian shell rulez..

A lo mejor si estás en un Debian pueda rulear...

"Simplicity is divine by Slackware Linux"

Ubuntero · 07-feb-2010, 10:03

La gloriosa slackware no digo nada excelente distro pero prefiero debian tal vez la costumbre aunque slackware es la madre.

Esta linea que dices

/var/log/auth.log sea lo mejor... ups!, cuidado habrá que ver si tu distro guarda ahí los logs de conexión.

Pues no se si en ubuntu lo guarda ahí ya que no lo uso pero hace un tiempo cuando probe la 7.04 si estaba ahí y como esta basada en debian pues no creo que lo cambien. Ahí estan los logs de conexión remota a cualquier puerto, 22,80,21 y otros, y también los de conexión local, aparece quien se loguea como root, nombres de usuarios, logs fallidos, hora y muchas cosas mas........

En slackware no se cual sera se que en centos es en el var/log/secure que me an tocado servidores con centos a veces y algo e aprendido de la distro, y su cambio de ficheros..

Pero bueno auth.log en debian y supongo que derivados, y en centos en secure.

"Simplicity is divine by Slackware Linux"

Grande muy grande pero algo tiene debian que ninguna distro de las que e provado la quita de mi pc ( fedora, suse, gentoo, tuquito, ubuntu, con kde, xfce y madriva creo que e usado algo también )

Nos vemos

ajr784 · 08-feb-2010, 11:39

Cita:

Esta linea que dices

/var/log/auth.log sea lo mejor... ups!, cuidado habrá que ver si tu distro guarda ahí los logs de conexión.

Pues no se si en ubuntu lo guarda ahí ya que no lo uso pero hace un tiempo cuando probe la 7.04 si estaba ahí y como esta basada en debian pues no creo que lo cambien. Ahí estan los logs de conexión remota a cualquier puerto, 22,80,21 y otros, y también los de conexión local, aparece quien se loguea como root, nombres de usuarios, logs fallidos, hora y muchas cosas mas........

En slackware no se cual sera se que en centos es en el var/log/secure que me an tocado servidores con centos a veces y algo e aprendido de la distro, y su cambio de ficheros..

Es exactamente a eso a lo que me refería, en Debian (y en ubuntu muy probable) que estén ahí, pero si estás en otra distro conviene ver cuál es el archivo de log que hace eso. Es una aclaración, primero porque me colgué y me olvidé que había preguntado por Ubuntu y segundo, cuando releí es igualmente válido para futuras búsquedas, supongamos que alguien le asalta la duda, busca por internet y encuentra éste post, lee la respuesta pero se da cuenta que tiene una distribución NO basada en Debian y que ese archivo no está ahí... el post no sirve de nada, con la aclaración ahora el tipo sabe que el archivo existe pero que en su distro tiene otro nombre.

Ubuntero · 08-feb-2010, 11:47

Si en eso tienes razón.

Aunque sabiendo que existe /var/log y que ahí se guardan los logs del sistema pues ya podra buscar...

Ummm tu eres anibal ??

Nos vemos

SyDA · 08-feb-2010, 17:13

pues cheque con sudo nano /var/log/auth.log, y si me muestra un log con usuarios que se conectaron pero no veo las ips de dichos usuarios, o no se si estare haciendo algo mal, por lo pronto intentare con sudo aptitude install whowatch .

Salu2.

Ubuntero · 08-feb-2010, 19:40

Raro este un pedazo de mi auth.log de debian de aquellos tiempos que me atacaban.

Cita:

Sep 11 14:59:49 debian sshd[4012]: Failed password for invalid user costos1 from 190.11.14.82 port 33779 ssh2
Sep 11 14:59:50 debian sshd[4014]: Invalid user costos2 from 190.11.14.82
Sep 11 14:59:50 debian sshd[4014]: pam_unix(sshd:auth): check pass; user unknown
Sep 11 14:59:50 debian sshd[4014]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=proxy.inamhi.gov.ec
Sep 11 14:59:52 debian sshd[4014]: Failed password for invalid user costos2 from 190.11.14.82 port 33829 ssh2
Sep 11 14:59:53 debian sshd[4016]: Invalid user calidad from 190.11.14.82
Sep 11 14:59:53 debian sshd[4016]: pam_unix(sshd:auth): check pass; user unknown
Sep 11 14:59:53 debian sshd[4016]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=proxy.inamhi.gov.ec
Sep 11 14:59:55 debian sshd[4016]: Failed password for invalid user calidad from 190.11.14.82 port 50011 ssh2
Sep 11 14:59:57 debian sshd[4018]: Invalid user portatil from 190.11.14.82
Sep 11 14:59:57 debian sshd[4018]: pam_unix(sshd:auth): check pass; user unknown
Sep 11 14:59:57 debian sshd[4018]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=proxy.inamhi.gov.ec
Sep 11 14:59:59 debian sshd[4018]: Failed password for invalid user portatil from 190.11.14.82 port 50081 ssh2
Sep 11 15:00:00 debian sshd[4020]: Invalid user aodria from 190.11.14.82
Sep 11 15:00:00 debian sshd[4020]: pam_unix(sshd:auth): check pass; user unknown
Sep 11 15:00:00 debian sshd[4020]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=proxy.inamhi.gov.ec
Sep 11 15:00:02 debian sshd[4020]: Failed password for invalid user aodria from 190.11.14.82 port 50135 ssh2
Sep 11 15:00:04 debian sshd[4022]: Invalid user jmeza from 190.11.14.82
Sep 11 15:00:04 debian sshd[4022]: pam_unix(sshd:auth): check pass; user unknown
Sep 11 15:00:04 debian sshd[4022]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=proxy.inamhi.gov.ec
Sep 11 15:00:06 debian sshd[4022]: Failed password for invalid user jmeza from 190.11.14.82 port 50341 ssh2
Sep 11 15:00:07 debian sshd[4024]: Invalid user htejada from 190.11.14.82
Sep 11 15:00:07 debian sshd[4024]: pam_unix(sshd:auth): check pass; user unknown

La ip, puerto, usuario viene siempre, al menos que la conexión sea local, que en vez del puerto dice kron.

Nos vemos

SyDA · 09-feb-2010, 09:57

mnmn no sabia que tenia diferencia pero las ips que queria ver eran locales, y el log que vi y me ayudo es el que esta en /var/log/apache2
pero muchas gracias eso para algo me tiene que servir tambien.
dia a dia aprendiendo algo nuevo jejeje XD

Salu2.

06-feb-2010, 11:03	#1
SyDA Senior Member Fecha de Ingreso: junio-2006 Mensajes: 452	ver quien se conecta a ubuntu Bueno quisiera ver un log o algo por el estilo de las ips que se conectan a mi pc. Tengo ubuntu 9.10 64 bits, y tengo una carpeta compartida para que las pcs que tienen windows puedan verla, asi que si alguien puede ayudarme en este dilema les agradeceria mucho. Salu2. __________________

06-feb-2010, 13:15	#2
Ubuntero Tu que me miras ? Fecha de Ingreso: agosto-2008 Mensajes: 2.406	sudo nano /var/log/auth.log Nos vemos __________________ [Solo usuarios registrados pueden ver los links. ] y skamasle.com May Be You Can't Break The System But Alway You Can Hack It...

06-feb-2010, 18:55	#4
Ubuntero Tu que me miras ? Fecha de Ingreso: agosto-2008 Mensajes: 2.406	Todo eso o puedes hacer desde consola sin instalar nada y con metodos sencillos pero es cosa de gustos no esta mal el programa.. Debian shell rulez.. A la antigua, siempre me a parecido mejor. Bueno cosa de debianitas..... Nos vemos gracias por el aporte __________________ [Solo usuarios registrados pueden ver los links. ] y skamasle.com May Be You Can't Break The System But Alway You Can Hack It...

07-feb-2010, 10:03	#6
Ubuntero Tu que me miras ? Fecha de Ingreso: agosto-2008 Mensajes: 2.406	La gloriosa slackware no digo nada excelente distro pero prefiero debian tal vez la costumbre aunque slackware es la madre. Esta linea que dices /var/log/auth.log sea lo mejor... ups!, cuidado habrá que ver si tu distro guarda ahí los logs de conexión. Pues no se si en ubuntu lo guarda ahí ya que no lo uso pero hace un tiempo cuando probe la 7.04 si estaba ahí y como esta basada en debian pues no creo que lo cambien. Ahí estan los logs de conexión remota a cualquier puerto, 22,80,21 y otros, y también los de conexión local, aparece quien se loguea como root, nombres de usuarios, logs fallidos, hora y muchas cosas mas........ En slackware no se cual sera se que en centos es en el var/log/secure que me an tocado servidores con centos a veces y algo e aprendido de la distro, y su cambio de ficheros.. Pero bueno auth.log en debian y supongo que derivados, y en centos en secure. "Simplicity is divine by Slackware Linux" Grande muy grande pero algo tiene debian que ninguna distro de las que e provado la quita de mi pc ( fedora, suse, gentoo, tuquito, ubuntu, con kde, xfce y madriva creo que e usado algo también ) Nos vemos __________________ [Solo usuarios registrados pueden ver los links. ] y skamasle.com May Be You Can't Break The System But Alway You Can Hack It... Última edición por Ubuntero; 07-feb-2010 a las 10:05

08-feb-2010, 11:47	#8
Ubuntero Tu que me miras ? Fecha de Ingreso: agosto-2008 Mensajes: 2.406	Si en eso tienes razón. Aunque sabiendo que existe /var/log y que ahí se guardan los logs del sistema pues ya podra buscar... Ummm tu eres anibal ?? Nos vemos __________________ [Solo usuarios registrados pueden ver los links. ] y skamasle.com May Be You Can't Break The System But Alway You Can Hack It...

08-feb-2010, 17:13	#9
SyDA Senior Member Fecha de Ingreso: junio-2006 Mensajes: 452	pues cheque con sudo nano /var/log/auth.log, y si me muestra un log con usuarios que se conectaron pero no veo las ips de dichos usuarios, o no se si estare haciendo algo mal, por lo pronto intentare con sudo aptitude install whowatch . Salu2. __________________

09-feb-2010, 09:57	#11
SyDA Senior Member Fecha de Ingreso: junio-2006 Mensajes: 452	mnmn no sabia que tenia diferencia pero las ips que queria ver eran locales, y el log que vi y me ayudo es el que esta en /var/log/apache2 pero muchas gracias eso para algo me tiene que servir tambien. dia a dia aprendiendo algo nuevo jejeje XD Salu2. __________________

Herramientas
Mostrar Versión Imprimible Enviar por Correo
Desplegado
Mode Lineal Cambiar a Modo Hibrido Cambiar a Modo Hilado