GNU/Linux >> Znalost Linux >  >> Linux

Jak najít poslední přihlášení v Linuxu

Pokud pracujete ve středně velké až velké společnosti, je docela pravděpodobné, že spolupracujete s mnoha dalšími správci systému.

Při provádění úkolů správce systému se někteří uživatelé mohou pokusit připojit k vašemu serveru, aby mohli provádět své každodenní úkoly.

V některých případech však můžete zjistit, že se na vašem serveru něco změnilo. V důsledku toho se ptáte, kdo provedl změnu .

Naštěstí pro vás existuje mnoho způsobů, jakzjistit, kdo se naposledy přihlásil na váš server.

V tomto tutoriálu se dozvíte o různých užitečných příkazech, které můžete použít ke kontrole posledních přihlášení v počítači.

Najít poslední přihlášení pomocí last

Nejjednodušší způsob, jak najít poslední přihlášení v počítači se systémem Linux, je provést příkaz „poslední“ bez možnosti. Pomocí tohoto příkazu se vám zobrazí všechna poslední přihlášení provedená na počítači. 

$ last

# To check the last ten login attempts, you can pipe it with "head"

$ last | head -n 10

Jak můžete vidět, ve výchozím nastavení je výstup zkrácen:uživatel „devconnected“ se zobrazí pouze jako „devconne“ pouhým použitím posledního příkazu.

Pokud najdete poslední přihlášení pomocí úplných uživatelských jmen a názvů hostitelů , musíte připojit „-w “ nebo „–celá jména “.

$ last -w

$ last --fullnames

Sloupce posledního příkazu

Při pohledu na poslední příkaz může být výstup trochu matoucí. Existuje mnoho sloupců, ale nevíme přesně, co znamenají.

V první řadě je rozdíl mezipřihlášením uživatele a restartem.

Jak vidíte, přihlašovací údaje začínají jménem uživatele, který se připojil k počítači . Na druhou stranu protokoly „reboot“ zjevně začínají klíčovým slovem „reboot“ .

Sloupce pro přihlášení uživatele

Pro protokoly uživatelů , význam různých sloupců je následující:

  • Uživatelské jméno :uživatelské jméno, které se připojilo k počítači;
  • TTY :index TTY používaného uživatelem k připojení k počítači. „:0“ označuje, že připojení je místní a můžete použít příkaz „tty“ k nalezení zařízení používaného uživatelem;
$ tty
  • Název zobrazení :protože X se používá jako zobrazovací server na každém počítači, může používat místní displej (:0, :1 atd.) nebo vzdálený displej. Pokud máte zájem o vzdálené spouštění grafických aplikací, můžete si přečíst našeho průvodce protokolem X;
  • Hodina přihlášení :spuštění serveru je zcela odlišné od přihlášení k němu. Tato hodina představuje čas, kdy bylo heslo skutečně poskytnuto v rozhraní;
  • Stav přihlášení :buď jste „stále přihlášeni“ nebo „není“ s dobou trvání relace.

Například v následujícím příkladu trvala relace dvanáct minut.

Sloupce pseudorestartu

Při každém restartu váš systém přidá nový řádek do aktuálního seznamu restartů provedených na vašem počítači.

Tyto speciální řádky začínající „reboot “, mají následující sloupce:

  • Restartovat :s uvedením, že se nejedná o přihlášení, ale o restart systému;
  • Podrobnosti o restartu :v tomto případě to bylo ve skutečnosti „zavedení systému“, což znamená, že systém se právě spustil;
  • Verze jádra :verze jádra načtená při spouštění systému. Může se to lišit, pokud na zaváděcím oddílu hostujete jinou verzi jádra.
  • Hodina spuštění :hodina představuje čas spouštění systému. Za ním buď následuje indikace „stále běží“, nebo koncová hodina následovaná dobou trvání relace v závorkách.

Nyní, když jste viděli, jak můžete vypsat všechna poslední přihlášení na vašem serveru, podívejme se, zda vás zajímají špatné pokusy o přihlášení.

Najít poslední přihlášení podle data

V některých případech vás mohou zajímat přihlášení, která byla provedena od nebo do určitého data v minulosti nebo za posledních pět minut.

Chcete-li najít poslední přihlášení podle data, spusťte příkaz „poslední“ s příkazem „–since“ a zadejte datum, pro které chcete najít poslední přihlášení.

Podobně můžete použít příkaz „–until“, abyste našli pokusy o přihlášení provedené do daného data v minulosti. 

$ last --since <date>

$ last --until <date>

Jaká jsou tedy data, která můžete použít k vyhledávání?

Formáty data jsou uvedeny na poslední stránce dokumentace.

Řekněme například, že chcete zjistit všechny pokusy o přihlášení za poslední dva dny, provedli byste následující příkaz

$ last --since -2days

Podobně, pokud chcete najít všechny pokusy o přihlášení provedené pět dní v minulosti, spustili byste následující příkaz

$ last --until -5days

Protože diagram často pomáhá více než slova, zde je způsob, jak porozumět „–od “ a „–do ” možnosti.

Najděte poslední špatné pokusy o přihlášení pomocí lastb

Abyste našli poslední špatné pokusy o přihlášení na vašem linuxovém serveru, musíte použít „lastb“ s administrátorskými právy. 

$ sudo lastb

Pokud si nejste jisti, jak tato práva zkontrolovat, přečtěte si naši specializovaní průvodci .

Jak vidíte, výstup je docela podobný tomu z „posledního ” příkaz :uživatelské jméno, o které jste se pokusili, použité zařízení a čas pokusu.

V tomto případě doba trvání „(00:00) ” bude opraveno, protože pokus o připojení nemá vůbec žádné trvání.

Všimněte si, že řádek zařízení může zobrazovat „ssh:notty“ v případě, že pokus o přihlášení byl proveden z terminálu SSH.

Kontrola souboru auth.log

Případně můžete zkontrolovat obsah souboru „/var/log/auth.log“, abyste viděli všechny neúspěšné pokusy na vašem serveru. 

$ tail -f -n 100 /var/log/auth.log | grep -i failed

Najděte poslední přihlášení SSH v systému Linux

Chcete-li najít poslední přihlášení SSH provedená na vašem počítači se systémem Linux, můžete jednoduše zkontrolovat obsah souboru „/var/log/auth.log“ a pomocí příkazu „grep“ najít protokoly SSH.> 

$ tail -f -n 100 /var/log/auth.log | grep -i sshd

Případně můžete zkontrolovat protokoly služby SSH spuštěním „journalctl ” následovaný „-u “ pro „jednotku “ a název služby .

$ sudo journalctl -r -u ssh | grep -i failed

Poznámka :zajímáte se o seznam služeb a jejich stavy na vašem serveru? Zde je průvodce seznamem vašich služeb v systému Linux.

Pokud nevidíte žádné protokoly související se službou SSH, může to souviset s vaším konfiguračním souborem SSH, konkrétně s „PrintLastLog “.

$ cat /etc/ssh/sshd_config | grep PrintLastLog

Pokud je tato možnost na vašem serveru nastavena na „Ne“ a chcete vytisknout poslední protokoly, nezapomeňte odkomentovat řádek s hodnotou „ano“. Poté nezapomeňte restartovat SSH server.

$ sudo nano /etc/ssh/sshd_config

PrintLastLog yes

$ sudo systemctl restart ssh

$ sudo systemctl status ssh

Skvělý! Dozvěděli jste se, jak můžete v počítači najít poslední protokoly SSH.

Vypsat poslední přihlášení uživatele v systému Linux

Chcete-li najít časy posledního přihlášení pro všechny uživatele na vašem počítači Linux, můžete použít příkaz „lastlog“ bez možnosti. Ve výchozím nastavení se vám zobrazí seznam všech uživatelů s jejich posledními pokusy o přihlášení.

Případně můžete použít „-u “ pro „uživatele “ a zadejte uživatele, kterého hledáte.

$ lastlog

$ lastlog -u <user>

Jak vidíte, příkaz bez jakýchkoli možností vrátí seznam všech účtů na vašem počítači, včetně toho kořenového a systémových.

Závěr

V tomto tutoriálu jste se naučili, jak snadno najít poslední pokusy o přihlášení provedené na počítači se systémem Linux.

Ať už byly tyto pokusy provedeny prostřednictvím přihlašovacího shellu nebo relace SSH, nyní víte, které soubory zkontrolovat a které nástroje použít k jejich načtení.

Pamatujte, že tyto soubory můžete prohlížet, ale můžete je také vykreslit na řídicím panelu, jako je Kibana, zde je návod, jak toho dosáhnout.

Pokud vás zajímá Správa systému Linux , máme na webu kompletní sekci věnovanou tomu, tak se určitě podívejte!


Linux

  1. Jak používat FIND v Linuxu

  2. Linux – Jak zobrazit příkazový řádek procesů provedených za posledních 10 sekund?

  3. Jak zkontrolovat historii přihlášení k systému Linux

  1. Jak najít verzi balíčku v Linuxu

  2. Jak najít výchozí IP bránu v Linuxu

  3. Jak najít adresáře, které byly aktualizovány minulý den v linuxu?

  1. Jak zjistit svou IP adresu v Linuxu

  2. Jak najít soubor v Linuxu

  3. Jak najít soubory upravené za posledních 30 dní v Linuxu?