Neplatné pokusy o přihlášení lze sledovat pomocí příkazu lastb poskytl soubor /var/log/wtmp je přítomen. Některé z možných příčin nesprávných nebo špatných pokusů o přihlášení jsou uvedeny níže:
- kvůli překlepu bylo během přihlašování zadáno nesprávné heslo.
- změnilo se heslo uživatele používaného v cronu pro připojení přes ssh.
- Pokud se nějaký hacker pokouší připojit pomocí náhodného / běžného uživatelského jména.
Last login: Sat Apr 21 16:24:24 UTC 2018 on pts/3 Last failed login: Sat Apr 21 17:44:04 UTC 2018 from 185.189.58.212.ptr.cy4n.net on ssh:notty There was 1 failed login attempt since the last successful login.
Ukázkový výstup příkazu lastb je uveden níže.
# lastb -a | more admin ssh:notty Sat Apr 21 17:44 - 17:44 (00:00) 185.189.58.212.ptr.cy4n.net admin ssh:notty Sat Apr 21 17:44 - 17:44 (00:00) 185.189.58.212.ptr.cy4n.net admin ssh:notty Sat Apr 21 17:44 - 17:44 (00:00) 185.189.58.212.ptr.cy4n.net admin ssh:notty Sat Apr 21 17:44 - 17:44 (00:00) 185.189.58.212.ptr.cy4n.net ...
Příkazy last a lastb prohledají zpět soubor /var/log/wtmp (nebo soubor označený parametrem -f) a zobrazí seznam všech přihlášených (a odhlášených) uživatelů od vytvoření tohoto souboru. Můžete se dotknout tohoto souboru, pokud ještě není přítomen.
# touch /var/log/wtmp
Last i lastb hlásí obsah /var/log/wtmp. Výchozí nastavení je hlásit měsíc, den a čas události. V tomto souboru však může být několik let dat a měsíc/den může být matoucí. -F flag bude hlásit celé datum:
# lastb -F | more user ssh:notty 1.186.112.64 Sun Apr 22 03:49:47 2018 - Sun Apr 22 03:49:47 2018 (00:00) user ssh:notty 1.186.112.64 Sun Apr 22 03:49:44 2018 - Sun Apr 22 03:49:44 2018 (00:00) user ssh:notty 1.186.112.64 Sun Apr 22 03:49:40 2018 - Sun Apr 22 03:49:40 2018 (00:00) ...Poznámka :Účetní systém ve vašem počítači sleduje statistiky používání uživatelů a je uchováván v aktuálním souboru /var/log/wtmp. Tento soubor je spravován procesy init a login.