Linuxサーバーにログイン中のユーザーを確認するには

　ユーザーは1日中、データセンターの「Linux」サーバーへのログインとログアウトを繰り返す。それらのシステムの管理者である読者の皆さんには、それらのサーバーで起こるすべてのこと、そして、それらのサーバーの信頼性とセキュリティを維持するために何をすべきかを把握しておく義務がある。

　しかし、誰がそれらのLinuxサーバーにログインして、何をしているのかを把握するには、どうすればいいのだろうか。これは手ごわい作業に思えるかもしれないが、Linuxを使用しているので、この作業は単純なだけでなく、サーバーに直接組み込まれてもいる。単一のコマンドを使用して、自分の管理下の環境で何が起きているのかを把握することが可能だ。とても簡単なので、すべてのLinux管理者がこれを実行できるはずだ。

wコマンドとはどんなものなのか

　wコマンドは、who（誰が）とwhat（何を）の両方を表す。その両方の情報を表示するからだ。wのmanページによると、wは現在マシン上にいるユーザーとそのプロセスに関する情報を表示するという。ヘッダーには、現在の時刻、システムの稼働時間、ユーザー数の順に情報が表示される。

　wはシステムにインストール済みなので、すぐに使用を開始できる。

　それでは、wの使い方を見ていこう。

使い方

　Linuxデータセンターサーバーにログインして、以下のコマンドを実行する。

w

　コマンドの出力には、マシンにログイン中のユーザーの名前とそれらのユーザーが使用しているコマンドが表示される（図A）。

図A：2人のユーザーがシステムにログイン中で、それぞれ異なるツールを使用している。

　これを見ると分かるように、oliviaというユーザーがデータセンターサーバーにログイン中だが、192.168.1.1のマシンにSSHでアクセスしている。oliviaはこれを許可されているのだろうか。許可されていない場合は、最初に以下のコマンドでそのPID（プロセスID）を確認することで、いつでもそのSSHセッションを終了できる。

ps -ef | grep olivia

　上記のコマンドの出力は、oliviaにというユーザーに関連するすべてのプロセスのPIDをリスト表示する。これを見ると分かるように（図B）、SSHのPIDは27306だ。

図B：oliviaというユーザーがシステムで行っているすべてのこと。

　以下のコマンドを実行して、このSSHセッションを終了する。

sudo kill 27306

　同じリスト（上記のps -ef |grep oliviaコマンド実行後に表示されたリスト）を見ると、oliviaのログインセッションのPIDが27299（pts/1で示される）であることが分かる。以下のコマンドで、そのPIDを終了する。

sudo kill 27299

　上記のコマンドは、oliviaを事実上ログアウトさせる。oliviaのログイン元のIPアドレスも確認できたので、（必要なら）そのアドレスをブロックして、サーバーに接続できないようにすることも可能だ。

賢く使おう

　oliviaというユーザーが不正なことをしていたのなら、これで阻止できた可能性が高い。もちろん、oliviaがそのサーバーへのアクセスを許可されたユーザーであるなら、あなたはおそらく彼女のセッションを終了しないはずだ。しかし、この方法を利用すれば、誰がデータセンターのLinuxサーバーにログインして何をしているのかを簡単に監視できる。wコマンドを賢く使えば、悪意あるユーザーがあなたのデータセンターサーバー上で悪事を働くのを阻止する助けになるかもしれない。

提供：Jack Wallen