Se lavori in un'azienda di medie e grandi dimensioni, è molto probabile che tu stia lavorando con molti altri amministratori di sistema.
Mentre esegui le tue attività di amministratore di sistema, alcuni utenti potrebbero provare a connettersi al tuo server per svolgere le loro attività quotidiane.
Tuttavia, in alcuni casi, potresti scoprire che qualcosa è cambiato sul tuo server. Di conseguenza, ti stai chiedendo chi ha eseguito il cambiamento .
Fortunatamente per te, ci sono molti modi per trovare chi ha effettuato l'ultimo accesso al tuo server.
In questo tutorial imparerai i diversi comandi utili che puoi utilizzare per controllare gli ultimi accessi sul tuo computer.
Trova l'ultimo accesso utilizzando l'ultimo
Il modo più semplice per trovare l'ultimo accesso sul tuo computer Linux è eseguire il comando "ultimo" senza opzioni. Usando questo comando, ti verranno presentati tutti gli ultimi accessi eseguiti sul computer.
$ last
# To check the last ten login attempts, you can pipe it with "head"
$ last | head -n 10
Come puoi vedere, per impostazione predefinita, l'output è troncato:l'utente "devconnected" viene visualizzato solo come "devconne" semplicemente utilizzando l'ultimo comando.
Se trovi gli ultimi accessi utilizzando nomi utente e nomi host completi , devi aggiungere "-w ” o “–nomi completi “.
$ last -w
$ last --fullnames
Colonne degli ultimi comandi
Quando si dà un'occhiata all'ultimo comando, l'output può essere un po' confuso. Ci sono molte colonne ma non sappiamo esattamente cosa rappresentino.
Prima di tutto, c'è una differenza tra accesso utente e riavvii.
Come puoi vedere, gli accessi utente iniziano con il nome dell'utente che si è connesso al computer . D'altra parte, i log "reboot" ovviamente iniziano con la parola chiave "reboot" .
Colonne di accesso utente
Per i registri degli utenti , il significato delle diverse colonne è il seguente :
- Nome utente :il nome utente che si è connesso al computer;
- TTY :l'indice del TTY utilizzato dall'utente per connettersi al computer. “:0” indica che la connessione è locale ed è possibile utilizzare il comando “tty” per trovare il dispositivo utilizzato dall'utente;
$ tty
- Il nome del display :poiché X viene utilizzato come server di visualizzazione su ogni macchina, può utilizzare un display locale (:0, :1 e così via) o un display remoto. Se sei interessato a eseguire applicazioni grafiche in remoto, puoi leggere la nostra guida sul protocollo X;
- Ora del login :avviare il server è molto diverso dall'accedere ad esso. Questa ora rappresenta l'ora in cui la password è stata effettivamente fornita nell'interfaccia;
- Stato di accesso :o sei "ancora loggato" o "non disponibile" con la durata della sessione.
Ad esempio, nell'esempio seguente, la durata della sessione era di dodici minuti.
Colonne di pseudoriavvio
Ad ogni riavvio, il tuo sistema aggiunge una nuova riga all'elenco corrente di riavvii eseguiti sul tuo computer.
Quelle righe speciali, che iniziano con "reboot “, hanno le seguenti colonne :
- Riavvia :specificando che questo non è un login ma piuttosto un riavvio del sistema;
- Dettagli sul riavvio :in questo caso si trattava in realtà di un "avvio del sistema" nel senso che il sistema era appena avviato;
- Versione kernel :la versione del kernel caricata all'avvio del sistema. Potrebbe essere diverso se ospiti una versione diversa del kernel sulla partizione di avvio.
- L'ora dello stivale :l'ora rappresenta l'ora di avvio del sistema. È seguito da un'indicazione "ancora in esecuzione" o dall'ora di fine seguita dalla durata della sessione tra parentesi.
Ora che hai visto come puoi elencare tutti gli ultimi accessi sul tuo server, vediamo se sei interessato a tentativi di accesso non validi.
Trova ultimo accesso per data
In alcuni casi, potresti essere interessato agli accessi effettuati da o fino a una data specifica nel passato o negli ultimi cinque minuti.
Per trovare l'ultimo accesso per data, esegui il comando "last" con il comando "–da" e specifica la data per la quale trovare gli ultimi accessi.
Allo stesso modo, puoi utilizzare il comando "–until" per trovare i tentativi di accesso effettuati fino a una determinata data nel passato.
$ last --since <date>
$ last --until <date>Quindi quali sono le date che puoi utilizzare per effettuare la ricerca?
Formati di data sono specificati nell'ultima pagina della documentazione.
Ad esempio, supponiamo che tu voglia trovare tutti i tentativi di accesso avvenuti negli ultimi due giorni, dovresti eseguire il seguente comando
$ last --since -2days
Allo stesso modo, se desideri trovare tutti i tentativi di accesso effettuati cinque giorni prima, esegui il comando seguente
$ last --until -5daysPoiché un diagramma spesso aiuta più delle parole, ecco un modo per comprendere il "–dal ” e “–fino a " opzioni.
Trova gli ultimi tentativi di accesso errati utilizzando lastb
Per trovare gli ultimi tentativi di accesso errati sul tuo server Linux, devi usare "lastb" con i diritti di amministratore.
$ sudo lastbSe non sei sicuro di come controllare tali diritti, assicurati di leggere le nostre guide dedicate .
Come puoi vedere, l'output è abbastanza simile a quello di "ultimo Comando ” :il nome utente tentato, il dispositivo utilizzato e l'ora del tentativo.
In questo caso, la durata "(00:00) ” verrà corretto poiché un tentativo di connessione non ha alcuna durata.
Si noti che la riga del dispositivo può visualizzare "ssh:notty" nel caso in cui il tentativo di accesso sia stato effettuato da un terminale SSH.
Controllo del file auth.log
In alternativa, puoi controllare il contenuto del file "/var/log/auth.log" per vedere tutti i tentativi falliti sul tuo server.
$ tail -f -n 100 /var/log/auth.log | grep -i failed
Trova gli ultimi accessi SSH su Linux
Per trovare gli ultimi accessi SSH eseguiti sulla tua macchina Linux, puoi semplicemente ispezionare il contenuto di "/var/log/auth.log" e inviarlo tramite pipe con "grep" per trovare i log SSH.>
$ tail -f -n 100 /var/log/auth.log | grep -i sshd
In alternativa, puoi controllare i log del servizio SSH eseguendo il "journalctl ” comando seguito dal comando “-u ” opzione per “unità ” e il nome del servizio .
$ sudo journalctl -r -u ssh | grep -i failed
Nota :interessato a elencare i servizi e i loro stati sul tuo server? Ecco una guida sull'elenco dei tuoi servizi su Linux.
Se non vedi alcun registro relativo al servizio SSH, potrebbe essere correlato al tuo file di configurazione SSH, in particolare a "PrintLastLog opzione ".
$ cat /etc/ssh/sshd_config | grep PrintLastLog
Se questa opzione è impostata su "No" sul tuo server e desideri stampare gli ultimi log, assicurati di decommentare la riga con il valore "yes". Non dimenticare di riavviare il tuo server SSH dopo.
$ sudo nano /etc/ssh/sshd_config
PrintLastLog yes
$ sudo systemctl restart ssh
$ sudo systemctl status sshGrande! Hai imparato come trovare gli ultimi log SSH sul tuo computer.
Elenca l'ultimo accesso dell'utente su Linux
Per trovare gli ultimi orari di accesso per tutti gli utenti sulla tua macchina Linux, puoi usare il comando "lastlog" senza opzioni. Per impostazione predefinita, ti verrà presentato l'elenco di tutti gli utenti con gli ultimi tentativi di accesso.
In alternativa, puoi utilizzare "-u ” opzione per “utente ” e specifica l'utente che stai cercando.
$ lastlog
$ lastlog -u <user>
Come puoi vedere, senza opzioni, il comando restituirà l'elenco di tutti gli account sul tuo computer, anche quello di root e quelli di sistema.
Conclusione
In questo tutorial, hai imparato come trovare facilmente gli ultimi tentativi di accesso effettuati su un computer Linux.
Indipendentemente dal fatto che questi tentativi siano stati effettuati tramite una shell di accesso o una sessione SSH, ora sai quali file ispezionare e quali strumenti utilizzare per recuperarli.
Ricorda che puoi ispezionare quei file ma puoi anche tracciarli su una soluzione di dashboard come Kibana, ecco una guida su come ottenerlo.
Se sei interessato a Amministrazione di sistema Linux , abbiamo una sezione completa ad esso dedicata sul sito Web, quindi assicurati di dare un'occhiata!