Controlla i tentativi di accesso utente riusciti e non riusciti in Linux

Per gli amministratori di sistema Linux è molto importante conoscere i tentativi di accesso utente riusciti e non riusciti sulle loro scatole Linux. In questo post, discuteremo i comandi che aiuteranno gli amministratori di sistema Linux a determinare i tentativi di accesso degli utenti riusciti e non riusciti.

ultimo comando

L'ultimo comando mostra la cronologia dei tentativi di accesso utente riusciti e i dettagli di riavvio del sistema leggendo il file /var/log/wtmp . Questo file acquisisce tutte le sessioni di accesso e disconnessione, inclusi l'ora di accesso, la durata in cui un utente è rimasto connesso e tty (terminale) in cui si è svolta la sessione dell'utente. Per visualizzare tutte le attività di accesso, logout e riavvio del sistema utente, digitare il comando "ultimo" sul terminale senza alcun argomento. Un esempio è mostrato di seguito:

# last
root     pts/0        117.206.178.226  Sun Nov 30 10:47   still logged in   
root     pts/0        117.206.178.226  Sat Nov 29 22:47 - 22:50  (00:03)    
root     pts/1        117.206.178.226  Sat Nov 29 22:17 - 22:46  (00:29)    
root     pts/0        117.206.183.48   Wed Nov 26 21:35 - 21:50  (00:14)    
root     pts/0        117.206.185.124  Tue Nov 25 23:23 - 23:24  (00:01)    
...........

Per visualizzare solo i dettagli di riavvio del sistema:

# last reboot
reboot   system boot  2.6.32-431.23.3. Sun Sep  7 02:07 - 10:49 (84+09:41)  
reboot   system boot  2.6.32-431.23.3. Sun Sep  7 01:58 - 02:07  (00:08)    
reboot   system boot  2.6.32-431.17.1. Sat Sep  6 12:13 - 01:58  (13:44)    

wtmp begins Sat Sep  6 12:13:56 2014

C'è un altro comando che elenca informazioni più dettagliate su accessi e riavvii recenti. Questo comando è utmpdump e viene eseguito nel modo seguente:

# utmpdump /var/log/wtmp

ultimo comando

Il comando lastb mostra le informazioni sui tentativi di accesso errati o falliti leggendo il file /var/log/btmp . Questo file tiene traccia di tutte le attività di tentativo di accesso non riuscite, inclusi il nome di accesso, l'ora e il tty (terminale) in cui è stato effettuato il tentativo. Per visualizzare tutti i tentativi di accesso non riusciti, digita il comando "lastb" sul terminale senza argomenti. Un esempio è mostrato di seguito.

# lastb
admin    ssh:notty    125.161.19.132   Sun Nov 30 09:49 - 09:49  (00:00)    
admin    ssh:notty    125.161.19.132   Sun Nov 30 09:48 - 09:48  (00:00)    
root     ssh:notty    61.174.49.105    Sun Nov 30 09:33 - 09:33  (00:00)    
root     ssh:notty    61.174.49.105    Sun Nov 30 09:33 - 09:33  (00:00)    
root     ssh:notty    61.174.49.105    Sun Nov 30 09:33 - 09:33  (00:00)    
root     ssh:notty    61.174.49.105    Sun Nov 30 09:33 - 09:33  (00:00)    
root     ssh:notty    61.174.49.105    Sun Nov 30 09:33 - 09:33  (00:00)    
root     ssh:notty    61.174.49.105    Sun Nov 30 09:33 - 09:33  (00:00)    
root     ssh:notty    61.174.49.105    Sun Nov 30 09:33 - 09:33  (00:00)    
root     ssh:notty    61.174.49.105    Sun Nov 30 09:33 - 09:33  (00:00)
...........................

comando lastlog

Il comando lastlog mostra le informazioni sugli accessi più recenti di tutti gli utenti o di un determinato utente leggendo il file /var/log/lastlog .

# lastlog 
Username         Port     From             Latest
root             pts/0    117.206.178.226  Sun Nov 30 10:47:03 -0600 2014
bin                                        **Never logged in**
daemon                                     **Never logged in**
adm                                        **Never logged in**
lp                                         **Never logged in**
sync                                       **Never logged in**
shutdown                                   **Never logged in**
...............