Thank you for reading this post, don't forget to subscribe!
Если на сервер Linux имеет доступ несколько пользователей, то смотреть кто и когда логинился на сервер просто необходимо, так-же это полезно при проведении расследований инцидентов, просто траблшутингга, честно - я всегда использовал и использую команду last, но от куда берутся сведения о входах, сессиях и т.п.? В Linux системах есть специальные логи, которые хранят информацию о логонах, попытках логонов, сессиях:
- /var/log/wtmp – Последние логон сессии
- /var/run/utmp – Текущие логон сессии
- /var/log/btmp – Неудачные попытки входа (bad login attempts)
Немного о команде last
Для просмотра всех успешных логонах можно просто использовать last:
1 |
last |
Просмотреть историю по конкретному пользователю можно так:
1 |
last <username> |
Где <username>
- имя пользователя, в данном случае это пользователь с именем test
. Результат:
1 2 3 4 5 6 |
<span class="hljs-built_in">test</span> tty1 :0 Mon Oct 15 20:45 - 20:51 (00:06) <span class="hljs-built_in">test</span> :0 Mon Oct 15 20:45 - 20:51 (00:06) <span class="hljs-built_in">test</span> tty1 :0 Mon Oct 15 16:23 - 16:25 (00:02) <span class="hljs-built_in">test</span> :0 Mon Oct 15 16:23 - down (00:02) <span class="hljs-built_in">test</span> tty1 :0 Mon Oct 15 15:46 - 15:47 (00:00) |
Просмотр с информацией об IP
Можно посмотреть IP с которых происходили подключения:
1 |
last -i |
Просмотр истории с нужным количеством
Посмотреть по количеству, например историю последних 10-ти логонов:
1 |
last -10 |
Неудачные попытки входа
Посмотреть неудачные попытки подключения:
1 |
lastb |
То-же самое можно посмотреть из btmp лога:
1 |
last <span class="hljs-_">-f</span> /var/<span class="hljs-built_in">log</span>/btmp |
Текущие сессии
Аналогично по текущим сессиям:
1 |
last <span class="hljs-_">-f</span> /var/run/utmp |
who
, в рамках данной статьи речь идет именно о last
и логон историях, поэтому другие способы не рассматриваются.