Skip to main content
u-random
u-random
  1. Comandi/

Who

·2 mins
base
System Observability
Alessio Barnini
Author
Alessio Barnini
Table of Contents
Who

Cosa fa
#

Mostra gli utenti attualmente loggati nel sistema. È uno strumento di monitoraggio immediato per identificare sessioni attive, terminali utilizzati e orari di accesso.

Sintassi
#

who [opzioni]

Comandi essenziali
#

ComandoCosa faNote Blue Team
whoLista utenti, terminale e data di login.Panoramica rapida delle sessioni.
who -aMostra tutte le informazioni (all).Include boot time e processi idle.
who -HAggiunge l'intestazione alle colonne.Rende l'output più leggibile.
who -bMostra l'ora dell'ultimo boot.Utile per verificare riavvii sospetti.
who -qConta solo il numero di utenti loggati.Metrica rapida per script di monitoraggio.

TTY vs PTS: Capire la sorgente dell'accesso
#

In un contesto di sicurezza, distinguere il tipo di terminale è critico per capire da dove sta operando un utente.

SORGENTE ACCESSO      TIPO TERMINALE     DESCRIZIONE
┌──────────────┐      ┌───────────┐      ┌──────────────────────────────────┐
│ Fisica (UTM) │ ───► │    tty    │ ───► │ Teletype: Accesso alla console   │
│              │      │           │      │ fisica o virtualizzata.          │
└──────────────┘      └───────────┘      └──────────────────────────────────┘
┌──────────────┐      ┌───────────┐      ┌──────────────────────────────────┐
│ Remota (SSH) │ ───► │    pts    │ ───► │ Pseudo Terminal Slave: Sessione  │
│              │      │           │      │ via rete o tramite emulatore GUI.│
└──────────────┘      └───────────┘      └──────────────────────────────────┘

Scenario Reale (Incident Response)
#

Stai analizzando un server e noti un utente guest loggato su pts/0. Sai che quel server non dovrebbe avere accessi remoti in quel momento. Eseguendo who -am, verifichi l'indirizzo IP di provenienza e l'ora esatta del login, permettendoti di isolare la sessione e iniziare l'investigazione sul possibile account compromesso.

Dove l'ho usato
#

  • progetto-lab-vm — Per verificare che la sessione SSH dal Mac fosse registrata correttamente come pts e distinguere l'accesso dalla finestra di UTM (tty).

Note personali
#

Analyst Tip: Se vedi molti terminali pts aperti dallo stesso utente in orari diversi, potrebbe trattarsi di sessioni SSH "appese" o dimenticate. In ottica security, è buona norma terminare le sessioni inattive per ridurre la superficie di attacco. Se vuoi sapere chi sei tu in questo momento, usa il comando whoami.

Collegato a
#

  • system — categoria (Hub)

  • ssh — la causa più comune di sessioni pts.

  • w — comando correlato che mostra anche cosa stanno facendo gli utenti.

  • last — per vedere lo storico degli accessi passati.

Related