Vem, när och varifrån? God säkerhet säga att du ska veta vem som har åtkomst till din Linux-dator. Vi visar dig hur.
Wtmp-Fil
Linux och andra Unix-liknande operativsystem såsom MacOS är väldigt bra på avverkning. Någonstans i tarmarna av systemet, det är en logg för bara om allt du kan tänka dig. Loggfilen vi är intresserade av att kallas wtmp. “W” står för “när” eller “vem”—ingen verkar komma överens. “Tmp” en del förmodligen står för “tillfällig”, men det kan också stå för “timestamp.”
Vad vi vet är att wtmp är en logg som fångar upp och registrerar varje inloggning och utloggning händelse. Granska data i wtmp log är ett grundläggande steg i att ta en säkerhet attityd till ditt system admin uppgifter. För en typisk familj datorn, det kan inte vara så kritisk ur ett säkerhetsperspektiv, men det är intressant att kunna se dina kombinerad användning av datorn.
Till skillnad från många av text-baserade log filer i Linux, wtmp är en binär fil. För att komma åt data i det, vi behöver använda ett verktyg som är avsett för denna uppgift.
Som verktyg är det sista kommandot.
Det sista Kommandot
Det sista kommandot läser data från wtmp logga in och visar den i ett terminalfönster.
Om du skriver sista och tryck på Enter för att det kommer att visa alla poster från loggfilen.
sista
Varje post från wtmp visas i terminalfönstret.
Från vänster till höger, varje linje innehåller:
- Användarnamnet för den person som är inloggad.
- Terminalen var de loggat in. En terminal inlägg av :0 betyder att de var inloggad på Linux-dator själv.
- IP-adressen för den maskin de var inloggad på.
- Logga in tid och datum-stämpel.
- Längden på sessionen.
Den sista raden talar om för oss den dag och tid av de tidigaste inspelade session i loggen.
En inloggning inlägget för den fiktiva användaren “omstart” är införd i den logg varje gång datorn startas upp. Terminalen området ersätts med kärnan versionen. Varaktigheten för den inloggade sessionen för dessa poster utgör det upp-tid för datorn.
Visar ett Visst Antal Linjer
Med hjälp av det sista kommandot på sin egen producerar en dump av hela loggen med det mesta av det som svischar förbi terminal-fönstret. Den del som fortfarande är synliga är det tidigaste uppgifter i loggen. Detta är förmodligen inte vad du ville se.
Du kan berätta för sista att ge dig ett visst antal linjer för produktionen. Gör detta genom att tillhandahålla det antal linjer som du vill på kommandoraden. Bindestreck. För att se fem linjer, du behöver typ -5 och inte 5:
sista -5
Detta ger de fem första raderna från loggen, som är de senaste uppgifterna.
Visar nätverksnamn för fjärranvändare
-D (Domain Name System) alternativet talar om för sista för att försöka lösa fjärrkontrollen användarnas IP-adresser i en maskin eller nätverksnamn.
sista -d
Det är inte alltid möjligt för den förra att konvertera IP-adress till ett nätverk namn, men det kommandot kommer att göra det när man kan.
Döljer IP-Adresser och Nätverket Namn
Om du inte är intresserad av IP-adressen eller namnet på nätverket, använd-R (nr värdnamn) alternativ för att undertrycka detta område.
Eftersom detta ger en snyggare ut utan fula wraparounds, det här alternativet har använts i följande exempel. Om du var med förra för att försöka identifiera ovanliga eller misstänkta aktiviteter, skulle du inte undertrycka detta område.
Välja Poster av Datum
Du kan använda växeln-s (sedan) möjlighet att begränsa produktionen för att endast visa logga in händelser som ägde rum efter ett visst datum.
Om du bara ville se logga in händelser som ägde rum från Maj, 26 2019, skulle du använda följande kommando:
sista -R-s 2019-05-26
Utgången visar poster med inloggningen händelser som ägde rum från den tid 00:00 på angiven dag, upp till de nyaste posterna i loggfilen.
Att söka Fram ett slutdatum
Du kan använda de -t (fram) för att ange ett slutdatum. Detta gör att du kan välja en uppsättning logga in poster som ägde rum mellan två datum som är av intresse.
Detta kommando frågar sista att hämta och visa logga in poster från kl 00:00 (dawn) på 26: e fram till 00:00 (dawn) den 27. Detta begränsar notering ned för att logga in möten som ägde rum på 26: e bara.
Tid och Datum Format
Du kan använda tider och datum med -s -t-alternativ.
De olika formaten som kan användas med den sista alternativ att använda datum och tider är (enligt uppgift):
- Ååååmmddhhmmss
- ÅÅÅÅ-MM-DD hh:mm:ss
- ÅÅÅÅ-MM-DD hh:mm sekunder är satt till 00
- ÅÅÅÅ-MM-DD – tiden är satt till 00:00:00
- hh:mm:ss – datum är satt till idag
- hh:mm datum kommer att fastställas till idag, till 00 sekunder
- nu
- igår – tiden är satt till 00:00:00
- idag – tiden är satt till 00:00:00
- i morgon – tiden är satt till 00:00:00
- +5min
- -5days
Varför “ska ha”?
Den andra och tredje format i listan inte fungerar under forskning för denna artikel. Dessa kommandon var testat på Ubuntu, Fedora, och Manjaro distributioner. Dessa är derivat av Debian, RedHat och Arch-distributioner, respektive. Som täcker alla de viktigaste familjer i Linux-distribution.
sista -R-s 2019-05-26 11:00 -t 2019-05-27 13:00
Som du kan se, kommandot returnerar inga poster på alla.
Med hjälp av den första format för datum och tid från listan med samma datum och tider som föregående kommando inte returnerar poster:
sista -R-s 20190526110000 -t 20190527130000
Sökning Av Relativa Enheter
Du också ange tidsperioder som mäts i minuter eller dagar, i förhållande till nuvarande datum och tid. Här ber vi för poster från två dagar sedan upp tills en dag sedan.
sista -R-s -2dagar -t -1days
I går, i Dag och Nu
Du kan använda den i går och i morgon som kortform för gårdagens datum och dagens datum.
sista -R-s igår t idag
Inte för att detta kommer inte att innehålla några poster för idag. Det är det som är förväntat beteende. Kommandot frågar efter poster från startdatum till slutet datum. Det behöver inte inkludera poster från slutdatum.
Nu alternativet är en förkortning för “dag vid den aktuella tiden.” För att se logga in händelser som har ägt rum sedan kl 00:00 (dawn) tills den tidpunkt när du ger kommandot för att använda detta kommando:
sista -R-s idag -t nu
Detta kommer att visa alla logga in evenemang ända fram till nuvarande tid, inklusive de som fortfarande är inloggad.
Detta Alternativ
-P (nuvarande) alternativet kan du ta reda på vem som var inloggad vid en punkt i tiden.
Det spelar ingen roll när de loggade in i eller ut, men om de loggat in på datorn på den tidpunkt som du anger, kommer de att vara med i listan.
Om du anger en tid utan tid förra förutsätter att du menar “idag”.
sista -R -p 09:30
Människor som fortfarande är inloggad (uppenbarligen) inte har en logga ut-tid; de beskrivs som fortfarande är inloggad . Om datorn har inte startats om sedan den tidpunkt som du anger kommer visas som fortfarande är igång.
Om du använder nu shorthand-p (nuvarande) alternativ du kan ta reda på vem som är inloggad när du kör kommandot.
sista -R -p nu
Detta är en något omständlig väg att uppnå vad som kan åstadkommas med hjälp av det som kommandot.
RELATERAT: Hur för att Avgöra det Aktuella användarkontot i Linux
Den laddningsbar Kommandot
Den laddningsbar kommandot förtjänar att nämnas. Den läser data från en logg som kallas btmp. Det är lite mer samförstånd om denna logg namn. “B” står för dålig, men ‘tmp’ del är fortfarande föremål för debatt.
laddningsbar listor dåligt (misslyckades) inloggningsförsök. Det accepterar samma alternativ som förra. Eftersom de var misslyckade inloggningsförsök, de poster kommer att ha en 00:00 varaktighet.
Du måste använda sudo med laddningsbar.
sudo laddningsbar -R
Det Sista Ordet i Frågan
Att veta vem som har loggat in på din Linux-dator, och när, och där finns användbar information. Detta i kombination med information om misslyckade inloggningsförsök vapen dig med de första stegen i att utreda misstänkt beteende.