3.51111111111Rating 3.50 (4 Votes)

Если на сервер Linux имеет доступ несколько пользователей, то смотреть кто и когда логинился на сервер просто необходимо, так-же это полезно при проведении расследований инцидентов, просто траблшутингга, честно - я всегда использовал и использую команду last, но от куда берутся сведения о входах, сессиях и т.п.? В Linux системах есть специальные логи, которые хранят информацию о логонах, попытках логонов, сессиях:

  • /var/log/wtmp – Последние логон сессии
  • /var/run/utmp – Текущие логон сессии
  • /var/log/btmp – Неудачные попытки входа (bad login attempts)

Немного о команде last

Для просмотра всех успешных логонах можно просто использовать last:

last

Просмотреть историю по конкретному пользователю можно так:

last <username>

Где <username> - имя пользователя, в данном случае это пользователь с именем test. Результат:

test     tty1         :0               Mon Oct 15 20:45 - 20:51  (00:06)
test     :0                            Mon Oct 15 20:45 - 20:51  (00:06)
test     tty1         :0               Mon Oct 15 16:23 - 16:25  (00:02)
test     :0                            Mon Oct 15 16:23 - down   (00:02)
test     tty1         :0               Mon Oct 15 15:46 - 15:47  (00:00)

Просмотр с информацией об IP

Можно посмотреть IP с которых происходили подключения:

last -i

Просмотр истории с нужным количеством

Посмотреть по количеству, например историю последних 10-ти логонов:

last -10

Неудачные попытки входа

Посмотреть неудачные попытки подключения:

lastb

То-же самое можно посмотреть из btmp лога:

last -f /var/log/btmp

Текущие сессии

Аналогично по текущим сессиям:

last -f /var/run/utmp

Инфу по сессиям можно посмотреть при помощи других команд, например who, в рамках данной статьи речь идет именно о last и логон историях, поэтому другие способы не рассматриваются.

Добавить комментарий


Защитный код
Обновить

Сейчас 427 гостей и ни одного зарегистрированного пользователя на сайте

Вверх
Вниз