Wie, wanneer en waar? Goede beveiliging praktijken zeggen dat je moet weten wie is de toegang tot uw Linux-computer. Wij laten u zien hoe.
De wtmp Bestand
Linux en andere Unix-achtige besturingssystemen, zoals mac Os zijn heel goed in te loggen. Ergens in de ingewanden van het systeem, is er een logboek voor zo ongeveer alles wat je kunt bedenken. Het log-bestand dat u geïnteresseerd bent in heet wtmp. De “w” zou staan voor “als” of “wie”—niemand lijkt in te stemmen. De “tmp” deel waarschijnlijk staat voor “tijdelijk”, maar het kan ook staan voor “timestamp”
Wat we wel weten is dat wtmp is een logboek dat registreert en registreert alle in-en uitloggen evenement. Het beoordelen van de gegevens in de wtmp log is een fundamentele stap in het nemen van een security-minded benadering om uw systeem admin rechten. Voor een doorsnee gezin computer, het is misschien niet zo belangrijk zijn vanuit het oogpunt van beveiliging, maar het is interessant om te worden in staat om te beoordelen voor het gecombineerde gebruik van de computer.
In tegenstelling tot veel van de tekst op basis van logbestanden in Linux, wtmp is een binair bestand. Om toegang te krijgen tot de gegevens in, we moeten gebruik maken van een tool ontworpen zijn voor die taak.
Die tool is de laatste opdracht.
De laatste Opdracht
Het laatste commando leest de gegevens van de wtmp logboek en geeft dit in een terminal venster.
Als u het type laatste en druk op Enter zal het weer alle records van het log bestand.
vorig
Elk record van wtmp wordt weergegeven in het terminal venster.
Van links naar rechts, van elke regel bevat:
- De gebruikersnaam van de persoon die ingelogd is.
- De terminal ze waren aangemeld. Een terminal vermelding van :0 betekent dat ze waren ingelogd op de Linux-computer zelf.
- Het IP-adres van de machine ze waren aangemeld.
- De login-tijd en datum stempel.
- De duur van de sessie.
De laatste regel vertelt ons de datum en tijd van de vroegste sessie in het logboek.
Met een login vermelding voor de fictieve gebruiker ‘reboot’ is ingevoerd in het logboek elke keer dat de computer wordt opgestart. De terminal veld vervangen door de kernel versie. De duur van de ingelogde sessie voor deze vermeldingen vertegenwoordigt de up-time voor de computer.
Het tonen van een bepaald Aantal Lijnen
Met behulp van de laatste opdracht op zijn eigen produceert een dump van de hele log met de meeste van het zoevend langs het terminal venster. Het gedeelte dat zichtbaar blijft is de oudste gegevens in het logboek. Dit is waarschijnlijk niet wat je wilde zien.
U kunt vertellen dat laatste geef je een bepaald aantal regels van de uitvoer. Doe dit door het aantal lijnen waarop u wilt op de commando-regel. Let op het streepje. Om vijf lijnen, moet u het type -5 en niet 5:
laatste -5
Dit geeft de eerste vijf regels van het logboek, dat is de meest recente gegevens.
Het tonen van het Netwerk Namen voor Externe Gebruikers
De -d (Domain Name System) – optie geeft aan last te proberen op te lossen externe gebruikers IP-adressen in een machine of de naam van het netwerk.
laatste -d
Het is niet altijd mogelijk voor het laatst te zetten in het IP-adres van een netwerk naam, maar de opdracht zal doen wanneer het kan.
Het verbergen van IP-Adressen en Namen Netwerk
Als u niet geïnteresseerd bent in het IP-adres of de naam van het netwerk, gebruik je de-R (geen hostnaam) optie om deze te onderdrukken veld.
Omdat dit geeft een nettere uitgang met geen lelijke wraparounds, deze optie is te gebruiken in alle volgende voorbeelden. Als u voor het laatst om te proberen vast te stellen ongebruikelijke of verdachte activiteit, zou je niet onderdrukken dit gebied.
Records selecteren op Datum
U kunt gebruik maken van de -s (sinds) optie voor het beperken van de output weer te geven login gebeurtenissen die plaatsvonden sinds een bepaalde datum.
Als je alleen maar wilde zien login gebeurtenissen die plaatsvonden vanaf 26 Mei 2019, zou u het volgende commando gebruiken:
laatste -R-s 2019-05-26
De uitvoer ziet u records met login gebeurtenissen die plaatsvonden vanaf het tijdstip 00:00 uur op de opgegeven dag, tot de nieuwste records in het bestand.
Zoeken Totdat een Eind Datum
U kunt gebruik maken van de -t (tot) het bepalen van een einddatum. Hiermee selecteert u een set login records die plaatsvond tussen twee data van belang.
Deze opdracht vraagt laatste te halen en de login records van 00:00 (ochtend) op de 26e tot en met het tijdstip 00:00 (dageraad) op 27. Dit verkleint de lijst naar beneden om in te loggen sessies die plaatsvond op 26 alleen.
Tijd en Datum formaat
U kunt gebruik maken van tijden en data met de-s en -t-opties.
De verschillende formaten die kunnen worden gebruikt met de laatste opties die gebruik maken van data en de tijden zijn (naar verluidt):
- Jjjjmmdduummss
- JJJJ-MM-DD hh:mm:ss
- JJJJ-MM-DD hh:mm – seconden op 00
- JJJJ-MM-DD – tijd is ingesteld op 00:00:00
- hh:mm:ss – date is ingesteld op vandaag
- hh:mm – date zal worden ingesteld op de dag van vandaag seconden om 00
- nu
- gisteren – tijd is ingesteld op 00:00:00
- vandaag – tijd is ingesteld op 00:00:00
- toekomst – de tijd die is ingesteld op 00:00:00
- +5min
- -5days
Waarom ‘naar verluidt’?
De tweede en derde formaten in de lijst niet werken tijdens het onderzoek voor dit artikel. Deze commando ‘ s werden getest op Ubuntu, Fedora, en Manjaro distributies. Deze zijn afgeleid van de Debian, RedHat en Boog uitkeringen, respectievelijk. Dat heeft betrekking op alle van de belangrijkste families van de Linux-distributie.
laatste -R-s 2019-05-26 11:00 -t 2019-05-27 13:00
Zoals u kunt zien, de opdracht geen records geretourneerd.
Met behulp van de eerste datum-en tijdnotatie om een notatie in de lijst met dezelfde datum en tijden als in de vorige opdracht heeft records:
laatste -R-s 20190526110000 -t 20190527130000
Zoeken Op Relatieve Eenheden
U kunt ook opgeven welk periodes die worden gemeten in minuten of dagen, in vergelijking met de huidige datum en tijd. Hier vragen we ook records uit twee dagen geleden-up tot één dag geleden.
laatste -R-s -2days -t -1days
Gisteren, Vandaag en Nu
U kunt gebruik maken van gisteren en morgen, als afkorting voor de datum van gisteren en de datum van vandaag.
laatste -R-s gisteren -t vandaag
Niet dat dit geen records voor vandaag. Dat is het verwachte gedrag. De opdracht vraagt om records vanaf de startdatum tot de einddatum. Het omvat niet de records binnen de einddatum.
De optie nu is een verzamelnaam voor “vandaag bij de huidige tijd.” Om de login van gebeurtenissen die hebben plaatsgevonden sinds 00:00 (dawn) voor tot het tijdstip waarop u de opdracht gebruik je dit commando:
laatste -R-s vandaag -t nu
Dit zal alle login-evenementen tot de huidige tijd, met inbegrip van degenen die nog steeds ingelogd.
De huidige Optie
De -p (aanwezig) met deze optie kunt u vinden wie ingelogd is op een punt in de tijd.
Het maakt niet uit wanneer ze ingelogd zijn, maar als ze zijn geregistreerd in de computer op het moment dat u opgeeft, worden ze opgenomen in de lijst.
Als u een tijd opgeven zonder een datum laatste wordt ervan uitgegaan dat u de betekenis van “vandaag”.
laatste -R -p 09:30
Mensen die nog steeds worden vastgelegd in een (uiteraard) niet beschikt over een log-out tijd; zij zijn nog steeds ingelogd . Als de computer niet opnieuw opgestart omdat de tijd die u opgeeft zal worden weergegeven als het nog.
Als u het nu steno-met de -p (huidige) optie kunt u erachter komen wie er ingelogd is op het moment dat u de opdracht.
laatste -R -p nu
Dit is een ietwat langdradige manier te bereiken, wat kan worden bereikt met behulp van de die opdracht.
GERELATEERD: het Bepalen van de Huidige Gebruiker Account in Linux
De lastb Opdracht
De lastb opdracht vermelding verdient. Het leest de gegevens uit een logboek genoemd btmp. Er is een beetje meer consensus over deze naam. De ‘b’ staat voor slecht, maar de ‘tmp’ deel is nog steeds onderwerp van discussie.
lastb lijsten de slechte (mislukte) login pogingen. Het accepteert dezelfde opties als laatste. Omdat ze mislukte login pogingen, zij zullen de inzendingen hebben allemaal 00:00 duur.
U moet gebruik maken van sudo met lastb.
sudo lastb -R
Het Laatste Woord over de Zaak
Weten wie zich heeft aangemeld bij uw Linux-computer, en wanneer, en waar is nuttige informatie. Door dit te combineren met de details van mislukte login pogingen armen op u met de eerste stappen in onderzoek naar verdacht gedrag.