GNU/Linux >> Znalost Linux >  >> Linux

Jak zkontrolovat historii přihlášení k systému Linux

Pokud máte server Linux, je možné, že k systému přistupuje několik uživatelů. Možná budete chtít vědět, kdo je přihlášen k vašemu systému, když se konkrétní uživatel přihlásil do systému Linux. Můžete také chtít vědět, ze které IP adresy byl přístup k vašemu systému.

I když nemáte více uživatelů, někdo se pravděpodobně pokusil získat přístup k vašemu linuxovému serveru. Věřte mi, může to znít divně, ale v dnešní době je běžnou věcí, že se roboti snaží získat přístup k vašim linuxovým serverům. nevěříš mi? Stačí zkontrolovat špatné pokusy o přihlášení na vašem serveru a zjistit, zda se někdo nepokusil přihlásit do vašeho systému.

Dovolte mi, abych vám ukázal, jak zobrazit historii přihlášení k systému Linux, abyste věděli, kdo a odkud přistupuje k vašemu systému.

Zobrazení historie přihlášení do systému Linux

Linux je velmi dobrý v uchovávání záznamů o všem, co se děje ve vašem systému. Zcela přirozeně také ukládá protokoly o přihlášení a pokusech o přihlášení. Přihlašovací údaje jsou uloženy na třech místech:

  • /var/log/wtmp – Protokoly posledních relací přihlášení
  • /var/run/utmp – Protokoly aktuálních relací přihlášení
  • /var/log/btmp – Protokoly špatných pokusů o přihlášení

Pojďme se na tyto věci podívat trochu podrobněji.

1. Zobrazit historii všech přihlášených uživatelů

Chcete-li zobrazit historii všech úspěšných přihlášení do vašeho systému, jednoduše použijte příkaz last.

last

Výstup by měl vypadat takto. Jak vidíte, je zde uveden uživatel, IP adresa, odkud uživatel přistupoval do systému, datum a časový rámec přihlášení. pts/0 znamená, že server byl přístupný přes SSH.

abhi     pts/0        202.91.87.115    Wed Mar 13 13:31   still logged in
root     pts/0        202.91.87.115    Wed Mar 13 13:30 - 13:31  (00:00)
servesha pts/0        125.20.97.117    Tue Mar 12 12:07 - 14:25  (02:17)
servesha pts/0        209.20.189.152  Tue Mar  5 12:32 - 12:38  (00:06)
root     pts/0        202.91.87.114    Mon Mar  4 13:35 - 13:47  (00:11)

wtmp begins Mon Mar  4 13:35:54 2019

Poslední řádek výstupu vám říká, kdy byl soubor protokolu wtmp vytvořen. To je důležité, protože pokud byl soubor wtmp nedávno smazán, poslední příkaz nebude moci zobrazit historii přihlášení před tímto datem.

Možná máte velkou historii přihlašovacích relací, takže je lepší zpracovat výstup pomocí méně příkazů.

2. Zobrazit historii přihlášení určitého uživatele

Pokud chcete pouze vidět historii přihlášení konkrétního uživatele, můžete zadat uživatelské jméno pomocí příkazu last.

last <username>

Uvidíte přihlašovací údaje pouze vybraného uživatele:

last servesha
servesha pts/0        125.20.97.117    Tue Mar 12 12:07 - 14:25  (02:17)
servesha pts/0        209.20.189.152  Tue Mar  5 12:32 - 12:38  (00:06)

wtmp begins Mon Mar  4 13:35:54 2019

3. Zobrazovat IP adresy v historii přihlášení namísto názvu hostitele

V předchozím výstupu jste to neviděli, ale ve výchozím nastavení poslední příkaz zobrazuje název hostitele místo IP adresy uživatele. Pokud jste v podsíti, pravděpodobně uvidíte pouze názvy hostitelů.

Pomocí volby -i můžete vynutit zobrazení IP adres dříve přihlášených uživatelů.

last -i

4. Zobrazit pouze posledních N přihlášení

Pokud má váš systém dobrou dobu provozu, možná by vaše historie přihlášení byla obrovská. Jak jsem již zmínil dříve, můžete použít příkaz less nebo jiné příkazy pro prohlížení souborů, jako je hlava nebo ocas.

Poslední příkaz vám dává možnost zobrazit pouze určitý počet historie přihlášení.

last -N

Stačí nahradit N požadovaným číslem. Můžete jej také zkombinovat s uživatelským jménem.

5. Podívejte se na všechny špatné pokusy o přihlášení na vašem Linux serveru

Nyní přichází důležitá část:kontrola špatných pokusů o přihlášení na vašem serveru.

Můžete to udělat dvěma způsoby. Můžete buď použít poslední příkaz se souborem protokolu btmp:

last -f /var/log/btmp

nebo můžete použít příkaz lastb:

lastb

Oba tyto příkazy přinesou stejný výsledek. Lastb je ve skutečnosti odkaz na poslední příkaz se zadaným souborem.

root     ssh:notty    218.92.0.158     Wed Mar 13 14:34 - 14:34  (00:00)
sindesi  ssh:notty    59.164.69.10     Wed Mar 13 14:34 - 14:34  (00:00)
root     ssh:notty    218.92.0.158     Wed Mar 13 14:34 - 14:34  (00:00)
sindesi  ssh:notty    59.164.69.10     Wed Mar 13 14:34 - 14:34  (00:00)
root     ssh:notty    218.92.0.158     Wed Mar 13 14:34 - 14:34  (00:00)

Špatné přihlášení může být nesprávné heslo zadané legitimním uživatelem. Může to být také robot, který se pokouší hrubou silou vynutit vaše heslo.

Zde musíte analyzovat a zjistit, zda rozpoznáváte IP adresy v protokolu. Pokud došlo k příliš velkému počtu pokusů o přihlášení z určité IP s uživatelem root, pravděpodobně se někdo pokouší zaútočit na váš systém brutálním násilím.

Pro ochranu vašeho serveru v takových případech byste měli nasadit Fail2Ban. Fail2Ban zakáže takové IP adresy z vašeho serveru a poskytne vašemu serveru další vrstvu ochrany.

Závěr

Doufám, že vás tento tutoriál naučí prohlížet historii přihlášení v Linuxu a nyní můžete tyto znalosti využít k lepší správě a ochraně vašeho systému Linux.

Pokud se vám tento článek líbil, sdílejte ho na sociálních sítích a přihlaste se k odběru našeho zpravodaje, kde najdete další návody týkající se Linuxu.


Linux

  1. Jak používat příkaz historie v Linuxu

  2. Jak zkontrolovat časové pásmo v Linuxu

  3. Jak extrahuji historii přihlášení?

  1. Jak zkontrolovat verzi Redhat

  2. Jak zkontrolovat neúspěšné nebo špatné pokusy o přihlášení v Linuxu

  3. Jak zkontrolovat heslo v Linuxu?

  1. Jak zkontrolovat teplotu CPU v Linuxu

  2. Jak používat příkaz historie Linuxu

  3. Jak zkontrolovat místo na disku v Linuxu