Поиск по сайту:

Как контролировать журналы аутентификации системы в Ubuntu


Как отслеживать входы в систему

Фундаментальным компонентом управления аутентификацией является мониторинг системы после того, как вы настроили своих пользователей.

Мы будем изучать эти концепции на сервере Ubuntu 22.04, но вы можете использовать любой современный дистрибутив Linux. Вы можете настроить сервер Ubuntu 22.04 для этого руководства, следуя нашему руководству по начальной настройке сервера в Ubuntu 22.04.

Просмотрите попытки аутентификации

Современные системы Linux регистрируют все попытки аутентификации в отдельном файле. Он находится по адресу /var/log/auth.log. Вы можете просмотреть этот файл, используя less:

  1. sudo less /var/log/auth.log
Output
May 3 18:20:45 localhost sshd[585]: Server listening on 0.0.0.0 port 22. May 3 18:20:45 localhost sshd[585]: Server listening on :: port 22. May 3 18:23:56 localhost login[673]: pam_unix(login:session): session opened fo r user root by LOGIN(uid=0) May 3 18:23:56 localhost login[714]: ROOT LOGIN on '/dev/tty1' Sep 5 13:49:07 localhost sshd[358]: Received signal 15; terminating. Sep 5 13:49:07 localhost sshd[565]: Server listening on 0.0.0.0 port 22. Sep 5 13:49:07 localhost sshd[565]: Server listening on :: port 22. . . .

Когда вы закончите просмотр файла, вы можете использовать q для выхода из less.

Как использовать «последнюю» команду

Обычно вас будут интересовать только самые последние попытки входа в систему. Вы можете увидеть их с помощью инструмента last:

  1. last
Output
demoer pts/1 rrcs-72-43-115-1 Thu Sep 5 19:37 still logged in root pts/1 rrcs-72-43-115-1 Thu Sep 5 19:37 - 19:37 (00:00) root pts/0 rrcs-72-43-115-1 Thu Sep 5 19:15 still logged in root pts/0 rrcs-72-43-115-1 Thu Sep 5 18:35 - 18:44 (00:08) root pts/0 rrcs-72-43-115-1 Thu Sep 5 18:20 - 18:20 (00:00) demoer pts/0 rrcs-72-43-115-1 Thu Sep 5 18:19 - 18:19 (00:00)

Это обеспечивает форматированную версию информации, сохраненной в другом файле, /etc/log/wtmp.

Судя по первой и третьей строке, в данный момент пользователи вошли в систему. Общее время, проведенное в системе во время других, уже закрытых сеансов, представлено набором значений, разделенных дефисом.

Как использовать команду «lastlog»

Вы также можете просмотреть время последнего входа каждого пользователя в систему с помощью команды lastlog.

Эта информация предоставляется при доступе к файлу /etc/log/lastlog. Затем он сортируется в соответствии с записями в файле /etc/passwd:

  1. lastlog
Output
Username Port From Latest root pts/1 rrcs-72-43-115-1 Thu Sep 5 19:37:02 +0000 2013 daemon **Never logged in** bin **Never logged in** sys **Never logged in** sync **Never logged in** games **Never logged in** . . .

Вы можете увидеть время последнего входа каждого пользователя в систему.

Обратите внимание, что почти у всех пользователей системы будет **Никогда не входить в систему**. Многие из этих системных учетных записей не будут использоваться для прямого входа в систему, так что это нормально.

Заключение

Аутентификация пользователей в Linux — относительно гибкая область управления системой. Существует множество способов достижения одной и той же цели с помощью широко доступных инструментов.

Важно понимать, где система хранит информацию о входах в систему, чтобы вы могли отслеживать изменения на своем сервере, которые не отражают ваше использование.

Далее вы можете узнать, как добавлять и удалять пользователей системы.