Здесь предоставлю обзор утилит для выяснения, кто и что делает в данный момент на сервере.
1) w
Эта утилита наверное ветеран из всех имеющихся. w выводит информацию о работающих в данный момент на машине пользователях и о их процессах. Заголовок показывает в следующем порядке: текущее время, сколько времени работает система, сколько пользователей в данный момент работают и среднее время загрузки системы за последние 1, 5 и 15 минут.
Для каждого пользователя выводятся следующие записи: регистрационное имя, название терминала (tty), удалённая машина, время регистрации в системе, время простоя, JCPU, PCPU и командную строку его текущего процесса.
Время JCPU – это время, использованное всеми процессами, закреплёнными за tty. Оно не включает завершённые фоновые задания, но включает фоновые задания, выполняющиеся в данный момент.
Время PCPU – это время, использованное текущим процессом, указанным в поле “what” (“что”).
2) who
who – сообщает о всех зарегистрировавшихся в системе пользователях. Если не указаны никакие опции, выводит листинг со следующей информацией о каждом пользователе вошедшем в настоящее время в систему: имя, терминал, время регистрации, имя дистанционного (удалённого) узла (localhost – для локально зарегистрировавшихся) или X-дисплей (:0).
Как правило, команда who получает свои входные данные из файла /var/run/utmp. Аргумент ФАЙЛ может задать другой файл с данными, например, /var/log/wtmp с информацией о завершенных сессиях или /var/log/btmp с информацией о неудачных попытках входа в систему (правда только в том случае, когда ваша система сконфигурирована для протоколирования этих событий). Под АРГ1 АРГ2 подразумевается использование `am i’ или `mom likes’ (см. опцию -m).
3) whowatch
Whowatch – консольный интерактивный инструмент для мониторинга за пользователями и их процессами. Отображает информацию о пользователях которые в данный момент вошли в систему. Имеется также возможность просматривать информацию о процессах пользователей в виде дерева. Конечно, можно без особых проблем управлять этими процессами.
4) yawho.
Очень подобна утилите who.
5) sockstat | grep sshd, sudo ps auxww | grep sshd
Это так сказать, конвеер сделанный руками. Кстати, если у вас в параметрах безопасности запрещено просматривать процессы других юзеров и груп, то sockstat нужно запускать через sudo.
6) getent utmpx active (появилась в 9.Х)
# getent utmpx active getent utmpx active [1447261331.491910 -- Wed Nov 11 20:02:11 2015] system boot [1437293217.427108 -- Sun Jul 19 11:06:57 2015] user process: id="3a873cda545eff7f" pid="1288" user="root" line="ttyv1" host="" [1447311304.396008 -- Thu Nov 12 09:55:04 2015] user process: id="8084832f31000000" pid="4104" user="Alex" line="pts/1" host="10.3.1.15" [1447410438.824887 -- Fri Nov 13 13:27:18 2015] dead process: id="8084832f30000000" pid="0" [1412600841.811588 -- Mon Oct 6 16:07:21 2014] user process: id="3962386266747064" pid="39819" user="swimmer" line="ftpd" host="10.34.1.23"
Но! данные пребывания можно удалить через ту же команду:
utx rm 8084832f30000000
