I tentativi di accesso non validi possono essere monitorati utilizzando il comando lastb fornito il file /var/log/wtmp è presente. Di seguito sono riportate alcune delle possibili cause di tentativi di accesso errati o errati:
- a causa di un errore di battitura è stata inserita una password errata durante l'accesso.
- è cambiata la password dell'utente utilizzato in cron per connettersi tramite ssh.
- Se un hacker sta tentando di connettersi utilizzando userid casuale/comune.
Last login: Sat Apr 21 16:24:24 UTC 2018 on pts/3 Last failed login: Sat Apr 21 17:44:04 UTC 2018 from 185.189.58.212.ptr.cy4n.net on ssh:notty There was 1 failed login attempt since the last successful login.
L'output di esempio del comando lastb è riportato di seguito.
# lastb -a | more admin ssh:notty Sat Apr 21 17:44 - 17:44 (00:00) 185.189.58.212.ptr.cy4n.net admin ssh:notty Sat Apr 21 17:44 - 17:44 (00:00) 185.189.58.212.ptr.cy4n.net admin ssh:notty Sat Apr 21 17:44 - 17:44 (00:00) 185.189.58.212.ptr.cy4n.net admin ssh:notty Sat Apr 21 17:44 - 17:44 (00:00) 185.189.58.212.ptr.cy4n.net ...
I comandi last e lastb effettuano una ricerca all'indietro nel file /var/log/wtmp (o nel file designato dal flag -f) e visualizzano un elenco di tutti gli utenti che hanno effettuato l'accesso (e che si sono disconnessi) dalla creazione del file. Puoi toccare questo file se non è già presente.
# touch /var/log/wtmp
Sia last che lastb riportano il contenuto di /var/log/wtmp. L'impostazione predefinita è di riportare il mese, il giorno e l'ora dell'evento. Tuttavia, potrebbero esserci più anni di dati in quel file e il mese/giorno può creare confusione. Il -F flag riporterà la data completa:
# lastb -F | more user ssh:notty 1.186.112.64 Sun Apr 22 03:49:47 2018 - Sun Apr 22 03:49:47 2018 (00:00) user ssh:notty 1.186.112.64 Sun Apr 22 03:49:44 2018 - Sun Apr 22 03:49:44 2018 (00:00) user ssh:notty 1.186.112.64 Sun Apr 22 03:49:40 2018 - Sun Apr 22 03:49:40 2018 (00:00) ...Nota :Il sistema di contabilità sul tuo computer tiene traccia delle statistiche di utilizzo degli utenti ed è conservato nel file /var/log/wtmp corrente. Quel file è gestito dai processi init e login.