Вчера я запустил w команда. Обычно результат выглядит так:
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root pts/0 p4...2f50.dip0.t..... 21:01 4.00s 0.05s 0.00s w
Это частный тестовый сервер, который я использую для тестирования некоторых своих проектов. Единственный человек, использующий его, - это я, поэтому я должен быть единственным, кто вошел в него. Однако он показал следующее:
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root pts/0 p4...2f50.dip0.t 21:01 4.00s 0.05s 0.00s w
root ... p4...2f50.S:0 (8 days ago) ... ... ... /bin/bash
Я добавил "...", потому что не могу вспомнить значения и, к сожалению, забыл сделать снимок экрана.
Важно то, что кажется, что второй человек вошел в систему долгое время. Я также заметил, что значение «FROM» очень похоже. Он начинается с такой же последовательности цифр и букв и заканчивается на .S:0 или :S.0 (Я этого тоже не могу вспомнить).
Я не очень хорошо понимаю значение этих ценностей. Кто-то действительно вошел в систему? Или это может быть "глючный" SSH-сеанс, который я неправильно закрыл?
TTY заканчиваются на :S.0 обычно создаются screen. Скорее всего: никто не вошел в эту оболочку, вы просто забыли об этом, соединение закрыто, оболочка все еще жива.
Чтобы отслеживать, как был создан ваш процесс, вы можете посмотреть ps fauxww | less, тип /ttyname чтобы найти свое имя tty, вы должны найти его родительский процесс (возможно, bash или sshd) и его дочерние процессы:
root 10307 0.2 0.0 107732 4260 ? Ss 03:59 0:00 \_ sshd: root@pts/0
root 10326 1.0 0.0 23240 4372 pts/0 Ss 03:59 0:00 \_ bash
root 10361 0.0 0.0 18600 1408 pts/0 R+ 03:59 0:00 \_ ps fauxww
root 10362 0.0 0.0 9544 928 pts/0 S+ 03:59 0:00 \_ less
или с экраном:
root 10326 0.1 0.0 23240 4416 pts/0 Ss 03:59 0:00 \_ bash
root 12524 0.0 0.0 26920 1116 pts/0 S+ 04:00 0:00 \_ screen
root 12525 0.0 0.0 27052 1396 ? Ss 04:00 0:00 \_ SCREEN
root 12526 0.3 0.0 23280 4464 pts/1 Ss 04:00 0:00 \_ /bin/bash