История входа в системах Linux

Добрый день всем, кто оказался на данном сайте. Давайте поговорим о том, как узнать, кто и когда входил в нашу систему. К примеру, у вас стоит сервер, и вы хотите посмотреть кто имеет к нему доступ. Это так же будет полезно, для тех кто беспокоиться о защите своих серверов и компьютеров. Для начала подключаемся к нашему серверу по ssh, или работаем с ним напрямую. После чего вводим команду “last”. Которая нам выдаст всю информацию о том кто и когда входил в нашу систему.

last

Как можно заметить на данном скриншоте, команда нам выдала информацию с какого ip подключались, а так же даеу и время этого подключения. Ну и в скобках указано сколько времени длилось подключение. Далее давайте посмотрим вывод о конкретном пользователе. Например возьмем пользователя “cyber-x”. Смотрим, когда он осуществлял подключения к нашему серверу. Для этого выполняем следующую команду:

last cyber-x

Так же если выводится слишком большое количество строк, то их можно ограничить. К примеру, возьмем последние 5 подключений данного пользователя (cyber-x). Для этого после имени укажем число “-5”, что будет означать о показе последних пяти подключений. Вводим команду:

 last cyber-x -5

А теперь давайте проверим, кто пытался подключиться к нашему серверу, но, к счастью без успешно.:

last -f /var/log/btmp

Ну а теперь давайте разберем, где у нас хранятся логи о подключениях. А расположены они в трех файлах. Давайте по порядку их и разберем. Первый файл:

/var/run/utmp

В нем указывается кто сейчас находиться в нашей системе.

Второй файл хранит в себе всю сессию подключений:

/var/log/wtmp

Ну и третий файл о неудачных попытках подключения расположен по адресу:

/var/log/btmp

А на этом сегодня все. Надеюсь данная статья будет вам полезна.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *