Если на сер­вер Linux име­ет доступ несколь­ко поль­зо­ва­те­лей, то смот­реть кто и когда логи­нил­ся на сер­вер про­сто необ­хо­ди­мо, так-же это полез­но при про­ве­де­нии рас­сле­до­ва­ний инци­ден­тов, про­сто траб­л­шу­тинг­га, чест­но - я все­гда исполь­зо­вал и исполь­зую коман­ду last, но от куда берут­ся све­де­ния о вхо­дах, сес­си­ях и т.п.? В Linux систе­мах есть спе­ци­аль­ные логи, кото­рые хра­нят инфор­ма­цию о лого­нах, попыт­ках лого­нов, сессиях:

• /var/log/wtmp – Послед­ние логон сессии
• /var/run/utmp – Теку­щие логон сессии
• /var/log/btmp – Неудач­ные попыт­ки вхо­да (bad login attempts)

Немного о команде last

Для про­смот­ра всех успеш­ных лого­нах мож­но про­сто исполь­зо­вать last:

Про­смот­реть исто­рию по кон­крет­но­му поль­зо­ва­те­лю мож­но так:

Где <username> - имя поль­зо­ва­те­ля, в дан­ном слу­чае это поль­зо­ва­тель с име­нем test. Резуль­тат:

Просмотр с информацией об IP

Мож­но посмот­реть IP с кото­рых про­ис­хо­ди­ли подключения:

Просмотр истории с нужным количеством

Посмот­реть по коли­че­ству, напри­мер исто­рию послед­них 10-ти логонов:

Неудачные попытки входа

Посмот­реть неудач­ные попыт­ки подключения:

То-же самое мож­но посмот­реть из btmp лога:

Текущие сессии

Ана­ло­гич­но по теку­щим сессиям: