Просмотр истории входа в Linux. Кто и когда входил в систему. Linux статьи
Написать статью
Войдите, чтобы писать статьи

Просмотр истории входа в Linux. Кто и когда входил в систему

4

Кто и когда входил в Linux. Команда Last

В данной заметке мы рассмотрим, как узнать, какие пользователи и когда именно входили в систему Linux.

Данная информация обычно нужна системным администраторам для просмотра истории входа в систему на многопользовательском сервере.

Помимо этого, бывает полезно узнать о неудачных попытках входа. Это могут быть боты, но могут быть и попытки взлома вашего сервера.

Где хранятся логи входа в систему

Информация о том, кто входил (залогинивался) или пытался войти в систему, хранится в лог файлах. Для этого используется три лог-файла:
/var/log/btmp — неудачные попытки входа.
/var/run/utmp — кто в данный момент залогинен (текущие сессии).
/var/log/wtmp — список всех сессий входа в систему.

Эти файлы, в отличии от большинства других лог-файлов Linux, имеют бинарный формат. Если вы попробуете просмотреть их командой cat, то на экран будет выведена «каша». Для их просмотра используется команда last.

Просмотр истории входа в систему

Для просмотра логов входа в систему используется команда last. По умолчанию команда last выводит информацию из файла /var/log/wtmp, в котором хранятся записи обо всех сессиях входа.

Выполним команду last:

last

Пример результата:

yuriy pts/0 181.23.456.189 Sat Mar 23 12:27 still logged in
nifnif pts/11 181.45.678.912 Wed Mar 20 05:30 - 05:49 (00:19)
nafnaf pts/22 181.45.678.312 Fri Mar 15 00:01 - 02:27 (02:26)
nufnuf pts/33 181.45.678.411 Wed Mar 13 11:02 - 11:28 (00:26)
...

Как вы можете видеть, выводится таблица с информацией. В ней содержатся имена пользователей, IP-адрес, с которого осуществлялся вход, дата и время входа и продолжительность сессии. Запись вида pts/0 означает, что для входа использовалось SSH соединение (или другое удаленное соединение, например, telnet).

Также выводится информация о включении/выключении системы.

Последняя строка в файле /var/log/wtmp показывает, когда был создан файл.

Просмотр истории входа в систему. Команда Last

Просмотр истории входа для определенного пользователя

Чтобы показать информацию о сессиях определенного пользователя, то для команды last необходимо указать имя этого пользователя:

last имя_пользователя

Например:

last pingvinus

Команда last username

Ограничить количество строк

Иногда лог, который выводит команда last, может быть очень большой. Чтобы ограничить количество выводимых строк, используется опция -n ЧислоСтрок или просто -ЧислоСтрок.

Выведем только десять свежих записей:

last -10

Просмотр неудачных попыток входа в систему

Как было сказано выше, записи о неудачных попытках входа в систему хранятся в лог-файле /var/log/btmp.

Команда last по умолчанию выводит информацию из файла /var/log/wtmp. Чтобы вывести информацию из другого файла, используется опция -f ИмяФайла

Выведем записи о неудачных попытках входа (из файла /var/log/btmp):

last -f /var/log/btmp

Или же можно воспользоваться командой lastb. Команда lastb работает точно также, как и команда last, но выводит информацию из файла /var/log/btmp

lastb

Заключение

Мы рассмотрели использование команды last для просмотра информации об истории входа в систему.

Дополнительную информацию по использованию команды last можно получить, выполнив в терминале:

man last
Лайков: +6
войдите, чтобы ставить лайки
4
  • Опубликовано: 21.04.2019

Комментарии

Yuriy73n
Активный пользователь
Активный
21.04.2019
14:30
Постоянная ссылка на комментарийПостоянная ссылка на комментарий
+1
войдите, чтобы ставить лайки
Юрий, не нашел, где у Вас "предложить программу". Хочу предложить к рассмотрению не программу, а дистрибутив - Feren OS. Раньше относился к нему скептически, но вчера, ради интереса, установил новую версию и он чем-то меня зацепил. Решил, даже на нем задержаться! Виден прогресс в развитии.
https://ferenos.weebly.com/
Основан на Ubuntu и .... Linux Mint! Но, в отличие от последнего - запускается мгновенно, много интересных "фишек".
yuriy
Активный пользователь
Активный
21.04.2019
15:10
Постоянная ссылка на комментарийПостоянная ссылка на комментарийРодительский комментарийYuriy73nРодительский комментарий
+1
войдите, чтобы ставить лайки
Если будет возможность, посмотрю этот дистрибутив. А то пока уже 2 на очереди готовятся. Во вторник-среду выложу один из них.
По поводу предложений добавления дистрибутивов, можно на форуме тему создать в разделе: https://pingvinus.ru/forum/categories/about-all
и добавлять пожелания.
nicolahome
Активный пользователь
Активный
21.04.2019
23:18
Постоянная ссылка на комментарийПостоянная ссылка на комментарий
+3
войдите, чтобы ставить лайки
Дополнение к описанному в теме, как вишенка на тортик...
Можно добавить в автозапуск:
sleep 10 && ffmpeg -f video4linux2 -i /dev/video0 -f image2 ~/.screenshots/`date +%d-%m-%y_%H-%M-%S`.png
Эта команда через 10 секунд после авторизации будет делать снимок с веб-камеры, например камеры ноутбука, сохранять снимки в каталоге ~/.screenshots с датой и временем съёмки, в *.png формате.
Будет особо полезно на ноуте с автовходом, посмотреть кто и когда этот ноут включал. Каталог с снимками скрыт, чтобы не всякий мог их смотреть, особенно кто не знает про скрытые файлы и каталоги.
Анонимус
06.05.2020
18:33
Постоянная ссылка на комментарийПостоянная ссылка на комментарий
+1
войдите, чтобы ставить лайки
Непонятно, как сделать так, чтобы команда last не отрезала имена пользователей и другие колонки. Например, в Вашем примере выше, отрезала последнюю букву логина. Что, если имена нескольких пользователей начинаются одинаково?

Написать комментарий

Ваше имя:
Текст комментария:
  • Уважать других.
  • Не ругаться.
  • Без оскорблений.
  • Без грубости.
  • Не переходить на личности.
  • Писать на русском языке.
  • Без политики.
  • Без флуда.
Правила