Fatmawati Achmad Zaenuri/Shutterstock.comChi, quando e da dove? Buone pratiche per la sicurezza dire che si dovrebbe sapere chi accede a un computer Linux. Vi mostriamo come.
Il File wtmp
Linux e altri sistemi operativi Unix-like come MacOS sono molto buoni per la registrazione. Da qualche parte nelle viscere del sistema, c’è un registro per quasi tutto ciò che si può pensare. Il file di log che interessa a noi è chiamato wtmp. La “w” potrebbe stare per “quando” o “chi”—nessuno sembra essere d’accordo. “Tmp” parte probabilmente sta per “temporanea”, ma potrebbe anche stare per “timestamp”.
Quello che sappiamo è che wtmp è un registro che cattura e registra ogni login e logout evento. L’analisi dei dati in wtmp registro è un passo fondamentale nell’assunzione di una protezione di mentalità approccio di sistema funzioni di admin. Per una famiglia di computer, che potrebbe non essere così critico dal punto di vista della sicurezza, ma è interessante per essere in grado di esaminare il vostro utilizzo combinato del computer.
A differenza di molti di testo basato su file di log in Linux, wtmp è un file binario. Per accedere ai dati all’interno di esso, abbiamo bisogno di utilizzare uno strumento progettato per l’attività.
Questo strumento è l’ultimo comando.
L’ultimo Comando
L’ultimo comando che legge i dati dal wtmp di registro e visualizza in una finestra di terminale.
Se si digita ultimo e premere Invio verranno visualizzati tutti i record del file di log.
ultimo
Ogni record wtmp viene visualizzato nella finestra del terminale.
Da sinistra a destra, ogni riga contiene:
- Il nome utente della persona che ha effettuato l’accesso.
- I terminal sono stati registrati in. Un terminale di ingresso :0 significa che sono stati registrati sul computer Linux.
- L’indirizzo IP della macchina sono stati registrati in.
- I tempi di accesso e la data.
- La durata della sessione.
L’ultima riga ci dice la data e l’ora della prima sessione registrata nel registro.
Una voce di accesso per l’utente fittizio ‘reboot’ è entrato nel registro ogni volta che il computer viene avviato. Il terminale di campo viene sostituito con la versione del kernel. La durata del collegato di sessione, per queste voci, che rappresenta l’up-tempo per il computer.
Mostrando un determinato Numero di Linee
Utilizzando l’ultimo comando che di per sé produce un dump dell’intero registro con la maggior parte di esso sfrecciare la finestra del terminale. La parte che rimane visibile è il più antico dei dati nel registro. Questo è probabilmente ciò che si voleva vedere.
Si può dire ultimo per dare un determinato numero di righe di output. Fare questo fornendo il numero di righe che si desidera nella riga di comando. Nota il trattino. Per vedere cinque linee, è necessario digitare -5 e non 5:
ultima -5
Questo dà le prime cinque righe del log, i dati più recenti.
Mostrando i Nomi di Rete per gli Utenti Remoti
L’-d (Domain Name System) opzione indica ultimo per tentare di risolvere da remoto gli indirizzi IP degli utenti in una macchina o di un nome di rete.
ultimo -d
Non sempre è possibile per ultimo per convertire l’indirizzo IP a un nome di rete, ma il comando di farlo quando si può.
Nascondere gli Indirizzi IP e i Nomi di Rete
Se non ti interessa l’indirizzo IP o il nome di rete, utilizzare l’opzione-R (senza nome host) opzione per eliminare questo campo.
Perché questo dà un pulito uscita senza brutte wraparounds, questa opzione è stata utilizzata in tutti gli esempi seguenti. Se si utilizza ultimo per cercare di identificare insolito o attività sospette, non sopprimere questo campo.
Selezione di Record per Data
È possibile utilizzare l’opzione-s (dal) opzione per limitare l’output per visualizzare solo il login eventi che hanno avuto luogo fino ad una certa data.
Se volevi solo vedere login eventi che hanno avuto luogo dal 26 Maggio 2019, utilizzare il seguente comando:
ultimo -R -s 2019-05-26
L’output mostra i record con i dati di accesso degli eventi che hanno avuto luogo dal tempo 00:00 del giorno specificato, fino al nuovo record nel file di log.
La ricerca Fino a una Data di Fine
È possibile utilizzare l’opzione-t (fino a) per specificare una data di fine. Questo consente di selezionare una serie di login record che ha avuto luogo tra due date di interesse.
Questo comando richiede ultimo per recuperare e visualizzare il login record dalle ore 00:00 (alba) il 26 fino alle 00:00 (alba) il 27. Questo restringe l’elenco in basso per le sessioni di login che si è svolta il 26.
Formati di ora e Data
È possibile utilizzare tempi di date con la -s e -t opzioni.
I diversi formati che possono essere utilizzati con le ultime opzioni che utilizzano date e gli orari sono (presumibilmente):
- Aaaammgghhmmss
- YYYY-MM-DD hh:mm:ss
- YYYY-MM-DD hh:mm – impostato i secondi a 00
- AAAA-MM-GG – il tempo è impostato su 00:00:00
- hh:mm:ss – data è fissata per oggi
- hh:mm – data sarà fissata per oggi, secondi a 00
- ora
- ieri il tempo è impostato su 00:00:00
- oggi il tempo è impostato su 00:00:00
- domani, il tempo è impostato su 00:00:00
- +5min
- -5days
Perche ‘presumibilmente’?
Il secondo e il terzo formati nell’elenco non ha funzionato durante le ricerche per questo articolo. Questi comandi sono stati testati su Ubuntu, Fedora, e Manjaro distribuzioni. Queste sono le derivate di Debian, RedHat e Arco distribuzioni, rispettivamente. Che copre tutte le principali famiglie di una distribuzione Linux.
ultimo -R -s 2019-05-26 11:00 -t 2019-05-27 13:00
Come si può vedere, il comando ha restituito nessun record.
Utilizzando il primo formato di data e ora dalla lista con la stessa data e orari come il precedente comando non restituisce i record:
ultimo -R -s 20190526110000 -t 20190527130000
La Ricerca Di Unità Relative
È inoltre possibile specificare il tempo, misurato in minuti o giorni, rispetto alla data corrente e l’ora. Siamo qui per chiedere i record di due giorni fa, fino a un giorno fa.
ultimo -R -s -2 giorni -t -1days
Ieri, Oggi, e Ora
È possibile utilizzare di ieri e di domani come scorciatoia per alla data di ieri e di oggi.
ultimo -R -s ieri -t oggi
Non che questo non includono alcun record per oggi. Che è il comportamento previsto. Il comando richiede record dalla data di inizio fino alla data di fine. Non include record entro la data di fine.
L’opzione è l’abbreviazione di “oggi al momento attuale.” Per vedere il login eventi che hanno avuto luogo dopo le 00:00 (alba), fino a quando non viene emesso il comando di utilizzare questo comando:
ultimo -R -s oggi -t ora
Questo mostra tutti eventi di accesso giusto il tempo presente, compresi quelli che sono ancora connessi.
La presente Opzione
-P (presente) opzione consente di scoprire chi è connesso a un punto nel tempo.
Non importa quando si ha effettuato l’accesso o di uscita, ma se sono stati registrati nel computer al momento specificato, non saranno inclusi nell’elenco.
Se si specifica una volta senza una data di ultimo assume a dire “oggi”.
ultimo -R -p 09:30
Le persone che sono ancora effettuato il login (ovviamente) non hai un log out; essi sono descritti come ancora registrato . Se il computer non è stato riavviato dal momento che il tempo si specifica che saranno elencati come ancora in esecuzione.
Se si utilizza l’ora abbreviata con l’-p (presente) opzione si può scoprire chi è connesso al momento di emettere il comando.
ultimo -R -p
Questo un po ‘ prolisso modo per realizzare ciò che può essere realizzato utilizzando il comando who.
CORRELATI: Come Determinare l’Account Utente Corrente in Linux
Il lastb Comando
Il lastb comando merita menzione. Legge i dati da un registro chiamato btmp. C’è un po ‘ più consenso su questo nome di log. ‘B’ sta per male, ma il ‘tmp’ è ancora oggetto di dibattito.
lastb elenca il male (non riuscito) di tentativi di accesso. Accetta le stesse opzioni come ultimo. Perché sono stati i tentativi di login falliti, che non valide avranno un’00:00 durata.
Si deve usare il comando sudo con lastb.
sudo lastb -R
L’Ultima Parola sulla Questione
La conoscenza di chi ha effettuato l’accesso al vostro computer con Linux, quando e da dove sono informazioni utili. Combinando questo con i dettagli di tentativi di login falliti braccia con i primi passi nell’indagare il comportamento sospetto.
CONTINUA A LEGGERE
- “Come Ottenere Windows 10 storico di Default di Sfondo per il Desktop Indietro
- “Il Modo Migliore per Organizzare le Tue Email: Appena il Loro Archivio
- “Cosa Fare Quando Vendere la Vostra Smarthome
- “Come Prendere il Vostro Viaggio Smarthome
- “Come Attivare Windows 10 Nuova Luce a Tema