Отслеживание журналов входа в систему в Ubuntu
Ubuntu, VPS | Комментировать запись
Вступление
Конфигурирование и управление пользователями и группами – основная часть системного администрирования. Эта задача включает в себя мониторинг возможностей входа всех элементов системы.
В данном руководстве представлены основные понятия об управлении пользователями и ведении журнала аутентификации. Данные принципы работы изучаются на примере выделенного сервера Ubuntu 12.04, но любой современный дистрибутив Linux работает таким же образом.
В третьей части говорится о том, как отслеживать журнал регистрации доступа, чтобы убедиться в том, что система доступна только для авторизованных пользователей.
Отслеживание входа в систему
Основным компонентом управления аутентификацией является мониторинг системы после настройки пользователей.
К счастью, современные системы Linux регистрируют все попытки аутентификации в дискретном файле. Он расположен в «/var/log/auth.log».
sudo less /var/log/auth.log
May 3 18:20:45 localhost sshd[585]: Server listening on 0.0.0.0 port 22.
May 3 18:20:45 localhost sshd[585]: Server listening on :: port 22.
May 3 18:23:56 localhost login[673]: pam_unix(login:session): session opened fo
r user root by LOGIN(uid=0)
May 3 18:23:56 localhost login[714]: ROOT LOGIN on '/dev/tty1'
Sep 5 13:49:07 localhost sshd[358]: Received signal 15; terminating.
Sep 5 13:49:07 localhost sshd[565]: Server listening on 0.0.0.0 port 22.
Sep 5 13:49:07 localhost sshd[565]: Server listening on :: port 22.
. . .
Использование команды «last»
Как правило, нужно отследить только самые последние попытки входа. Это можно сделать при помощи инструмента «last»:
last
demoer pts/1 rrcs-72-43-115-1 Thu Sep 5 19:37 still logged in
root pts/1 rrcs-72-43-115-1 Thu Sep 5 19:37 - 19:37 (00:00)
root pts/0 rrcs-72-43-115-1 Thu Sep 5 19:15 still logged in
root pts/0 rrcs-72-43-115-1 Thu Sep 5 18:35 - 18:44 (00:08)
root pts/0 rrcs-72-43-115-1 Thu Sep 5 18:20 - 18:20 (00:00)
demoer pts/0 rrcs-72-43-115-1 Thu Sep 5 18:19 - 18:19 (00:00)
Это действие выводит отформатированную версию файла «/etc/log/wtmp».
Как можно видеть, в первой и третьей строках показано, что пользователь все еще находится в системе.
В противном случае, общее время сеанса пользователя задается набором значений, разделенных дефисом.
Использование команды «lastlog»
Чтобы получить подобную информацию в другом виде, можно просмотреть последний раз входа в систему каждого пользователя.
Это можно сделать, войдя в файл «/etc/log/lastlog». Данная информация сортируется в соответствии с записями в файле «/etc/passwd»:
lastlog
Username Port From Latest
root pts/1 rrcs-72-43-115-1 Thu Sep 5 19:37:02 +0000 2013
daemon **Never logged in**
bin **Never logged in**
sys **Never logged in**
sync **Never logged in**
games **Never logged in**
. . .
Здесь можно увидеть время последнего входа в систему каждого пользователя.
Обратите внимание, на данный момент многие пользователи системы никогда не входили, о чем говорит значение **Never logged in**.
Итоги
Авторизация пользователей в Linux является относительно гибкой областью управления системой, так как одну и ту же задачу можно выполнить разными способами при помощи простых инструментов.
Важно запомнить, где система хранит информацию о входе, чтобы отслеживать внесенные на сервер изменения
Tags: last, lastlog, Linux, Ubuntu, VPS