Admins müssen bei Bedarf schnell ermitteln, welcher User sich wann und von wo auf ihrem System angemeldet hat. Mit diesem Wissen schützen sie ihre Computer vor Missbrauch und können im Ernstfall die Eindringlinge zurückverfolgen. Die Kommandos »who«, »w« und »last« liefern die Daten.

Computernetzwerke sind schon enorm praktisch. Um den Cluster an der Universität aus der Ferne zu warten, melde ich mich bequem über das Netz an und installiere ein Sendmail-Update vom heimischen Sofa aus. Mein unüberschaubares Spam-Aufkommen filtert ein Rechner in Pennsylvania, den ich ebenso selbstverständlich in meiner Wohnung programmiere.

Segen und Fluch der ständigen Erreichbarkeit

Leider gelten diese umfassenden Freiheiten auch für üble Zeitgenossen aller Art. Wer auf irgendeinem Wege die Zugangscodes eines Unix-Rechners ergattert hat - egal ob es sich dabei um einen Benutzernamen mit Passwort oder um einen kryptographischen Schlüssel handelt -, kann sich in der Regel von überall aus anmelden. Solange viele Unix-Administratoren nebenher auch noch auf Windows-Maschinen arbeiten (oder spielen), kommen Würmer und Trojanische Pferde immer wieder mal an ihre Zugangscodes heran.

Firewalls und virtuelle private Netze machen zwar den potenziellen Tätern das Einbrechen schwer, sie sind jedoch für viele kleine Firmen und Privatleute zu unhandlich und umständlich einzurichten. Umsichtige Admins untersuchen daher regelmäßig, wer sich auf ihren Rechnern alles tummelt und woher der Login kommt. So erkennen sie Unregelmäßigkeiten und können die Eindringlinge verjagen.

Wer online ist

Einen ersten Überblick der gerade angemeldeten Benutzer schafft der Befehl »who« (Abbildung 1). Er zeigt neben dem Benutzernamen und der Herkunft auch Datum und Uhrzeit des Logins sowie die (virtuelle) Konsole, an der der betreffende User arbeitet.

Abbildung 1: Das »who«-Kommando listet alle derzeit angemeldeten Benutzer. Baier arbeitet am X-Server der Konsole (»:0«), während sich »wwwadm« und »mas« remote eingeloggt haben.

Auf diesem Computer sind gerade drei User angemeldet: »baier« arbeitet an der Konsole und hat einen X-Server (»:0«) sowie eine ganze Reihe zusätzlicher Terminals geöffnet (»pts/ X«). Wahrscheinlich handelt es sich bei Letzteren um XTerm-Fenster. Neben »baier« ist noch der Account »wwwadm« zu sehen, der sich über die Maschine »zpidsu5.uni-trier.de« angemeldet hat, außerdem »mas«, von »acb6ae4b.ipt.aol.com« kommend, offenbar einem Wählzugang.

Mit dem Who-Befehl nahe verwandt ist »w« (Abbildung 2), das auf den meisten Linux-Systemen ergänzend zur Verfügung steht. Praktischerweise ist »w« kürzer zu tippen und zeigt obendrein die Uptime des Computers sowie die gerade bearbeitete Befehlszeile auf dem jeweiligen PTY (Pseudoterminal).

Abbildung 2: Unter Linux informiert »w« noch etwas ausführlicher als »who«. Es zeigt in der ersten Zeile zusätzlich die Uptime des Rechners sowie dessen Last.

Admins müssen bei Bedarf schnell ermitteln, welcher User sich wann und von wo auf ihrem System angemeldet hat. Mit diesem Wissen schützen sie ihre Computer vor Missbrauch und können im Ernstfall die Eindringlinge zurückverfolgen. Die Kommandos »who«, »w« und »last« liefern die Daten.