В данной заметке мы рассмотрим, как узнать, какие пользователи и когда именно входили в систему Linux.
Данная информация обычно нужна системным администраторам для просмотра истории входа в систему на многопользовательском сервере.
Помимо этого, бывает полезно узнать о неудачных попытках входа. Это могут быть боты, но могут быть и попытки взлома вашего сервера.
Где хранятся логи входа в систему
Информация о том, кто входил (залогинивался) или пытался войти в систему, хранится в лог файлах. Для этого используется три лог-файла:
/var/log/btmp — неудачные попытки входа.
/var/run/utmp — кто в данный момент залогинен (текущие сессии).
/var/log/wtmp — список всех сессий входа в систему.
Эти файлы, в отличии от большинства других лог-файлов Linux, имеют бинарный формат. Если вы попробуете просмотреть их командой cat, то на экран будет выведена «каша». Для их просмотра используется команда last.
Просмотр истории входа в систему
Для просмотра логов входа в систему используется команда last. По умолчанию команда last выводит информацию из файла /var/log/wtmp, в котором хранятся записи обо всех сессиях входа.
Выполним команду last:
lastПример результата:
yuriy pts/0 181.23.456.189 Sat Mar 23 12:27 still logged in
nifnif pts/11 181.45.678.912 Wed Mar 20 05:30 - 05:49 (00:19)
nafnaf pts/22 181.45.678.312 Fri Mar 15 00:01 - 02:27 (02:26)
nufnuf pts/33 181.45.678.411 Wed Mar 13 11:02 - 11:28 (00:26)
...Как вы можете видеть, выводится таблица с информацией. В ней содержатся имена пользователей, IP-адрес, с которого осуществлялся вход, дата и время входа и продолжительность сессии. Запись вида pts/0 означает, что для входа использовалось SSH соединение (или другое удаленное соединение, например, telnet).
Также выводится информация о включении/выключении системы.
Последняя строка в файле /var/log/wtmp показывает, когда был создан файл.
Просмотр истории входа для определенного пользователя
Чтобы показать информацию о сессиях определенного пользователя, то для команды last необходимо указать имя этого пользователя:
last имя_пользователяНапример:
last pingvinus
Ограничить количество строк
Иногда лог, который выводит команда last, может быть очень большой. Чтобы ограничить количество выводимых строк, используется опция -n ЧислоСтрок или просто -ЧислоСтрок.
Выведем только десять свежих записей:
last -10Просмотр неудачных попыток входа в систему
Как было сказано выше, записи о неудачных попытках входа в систему хранятся в лог-файле /var/log/btmp.
Команда last по умолчанию выводит информацию из файла /var/log/wtmp. Чтобы вывести информацию из другого файла, используется опция -f ИмяФайла
Выведем записи о неудачных попытках входа (из файла /var/log/btmp):
last -f /var/log/btmpИли же можно воспользоваться командой lastb. Команда lastb работает точно также, как и команда last, но выводит информацию из файла /var/log/btmp
lastbЗаключение
Мы рассмотрели использование команды last для просмотра информации об истории входа в систему.
Дополнительную информацию по использованию команды last можно получить, выполнив в терминале:
man last
Комментарии
14:30
https://ferenos.weebly.com/
Основан на Ubuntu и .... Linux Mint! Но, в отличие от последнего - запускается мгновенно, много интересных "фишек".
15:10
По поводу предложений добавления дистрибутивов, можно на форуме тему создать в разделе: https://pingvinus.ru/forum/categories/about-all
и добавлять пожелания.
23:18
Можно добавить в автозапуск:
sleep 10 && ffmpeg -f video4linux2 -i /dev/video0 -f image2 ~/.screenshots/`date +%d-%m-%y_%H-%M-%S`.png
Эта команда через 10 секунд после авторизации будет делать снимок с веб-камеры, например камеры ноутбука, сохранять снимки в каталоге ~/.screenshots с датой и временем съёмки, в *.png формате.
Будет особо полезно на ноуте с автовходом, посмотреть кто и когда этот ноут включал. Каталог с снимками скрыт, чтобы не всякий мог их смотреть, особенно кто не знает про скрытые файлы и каталоги.
18:33