Cum se monitorizează jurnalele de autentificare a sistemului pe Ubuntu

Configurare noua (How To)

Situatie

O componentă fundamentală a managementului autentificării este monitorizarea sistemului după ce v-ați configurat utilizatorii.

Solutie

Pasi de urmat

Sistemele Linux moderne înregistrează toate încercările de autentificare într-un fișier discret. Acesta se află la /var/log/auth.log.
Puteți vizualiza acest fișier folosind less
sudo less /var/log/auth.log

May 3 18:20:45 localhost sshd[585]: Server listening on 0.0.0.0 port 22.
May 3 18:20:45 localhost sshd[585]: Server listening on :: port 22.
May 3 18:23:56 localhost login[673]: pam_unix(login:session): session opened fo
r user root by LOGIN(uid=0)
May 3 18:23:56 localhost login[714]: ROOT LOGIN on ‘/dev/tty1’
May 5 13:49:07 localhost sshd[358]: Received signal 15; terminating.
May 5 13:49:07 localhost sshd[565]: Server listening on 0.0.0.0 port 22.
May 5 13:49:07 localhost sshd[565]: Server listening on :: port 22.
. . .

Când ați terminat de vizualizat fișierul, puteți utiliza q pentru a renunța la less.

De obicei, veți fi interesat doar de cele mai recente încercări de conectare. Le puteți vedea cu ultimul instrument:
last

demoer pts/1 rrcs-72-43-115-1 Thu Sep 5 19:37 still logged in
root pts/1 rrcs-72-43-115-1 Thu May 5 19:37 – 19:37 (00:00)
root pts/0 rrcs-72-43-115-1 Thu May 5 19:15 still logged in
root pts/0 rrcs-72-43-115-1 Thu May 5 18:35 – 18:44 (00:08)
root pts/0 rrcs-72-43-115-1 Thu May 5 18:20 – 18:20 (00:00)
demoer pts/0 rrcs-72-43-115-1 Thu May 5 18:19 – 18:19 (00:00)

Aceasta oferă o versiune formatată a informațiilor salvate într-un alt fișier, /etc/log/wtmp. Judecând de la prima și a treia linie, utilizatorii sunt în prezent conectați la sistem. Timpul total petrecut conectat la sistem în timpul altor sesiuni deja închise este furnizat de un set de valori separate prin cratime.

De asemenea, puteți vizualiza ultima dată când fiecare utilizator de pe sistem sa conectat utilizând comanda lastlog.

Aceste informații sunt furnizate prin accesarea fișierului /etc/log/lastlog. Apoi este sortat în funcție de intrările din fișierul /etc/passwd:
lastlog

Username Port From Latest
root pts/1 rrcs-72-43-115-1 Thu May 5 19:37:02 +0000 2013
daemon **Never logged in**
bin **Never logged in**
sys **Never logged in**
sync **Never logged in**
games **Never logged in**
. . .

Puteți vedea cea mai recentă oră de conectare a fiecărui utilizator de pe sistem. Observați cum utilizatorii sistemului aproape toți vor avea **Nu s-au autentificat niciodată**. Multe dintre aceste conturi de sistem nu vor fi folosite pentru a vă conecta direct, așa că este normal.

Tip solutie

Permanent

Voteaza

(60 din 87 persoane apreciaza acest articol)

Despre Autor

Leave A Comment?