システム内のデータ侵害やその他の脆弱性に対する重要な保護ラインは監視です。ユーザーを構成した後、認証管理はシステムを監視します。
すべての認証試行は、 /var/log/auth.logの個別のファイルにあります。 。
例:
sudo less /var/log/auth.log
結果は次のようになります。
Feb 18 09:19:07 myserver sshd[4792]: pam_unix(sshd:auth): authentication failure;
Feb 18 09:19:09 myserver sshd[4792]: Failed password for x
Feb 18 12:21:32 myserver su[3484]: pam_unix(su:session): session open
Feb 18 09:19:12 myserver sshd[4792]: Failed password for x from 20.20.20.20 port 2158 ssh2
last コマンド
ログイン試行の確認に関しては、lastを使用して最新のものを確認できます。 コマンド。
last コマンドは、ログインとログアウトの方法とタイミングを提供します。
last
結果は次のようになります。
var pts/1 192.168.1.0 Thu Feb 18 16:22 still logged in
root pts/1 192.168.1.0 Thu Feb 18 19:37 - 19:37 (00:00)
root pts/0 192.168.1.0 Thu Feb 18 19:55 still logged in
root pts/0 192.168.1.0 Thu Feb 18 20:05 - 20:15 (00:10)
root pts/0 192.168.1.0 Thu Feb 18 20:10 - 20:10 (00:00)
var pts/0 192.168.1.0 Thu Feb 18 20:20 - 20:25 (00:05)
さまざまなサービスとアプリケーションが/var / logのログファイルに記録されます 次のファイルを含むディレクトリ:
- utmp :端末、ログアウト時間、システムイベント、システムの現在のステータス、およびシステムの起動時間を表示します。
- wtmp : utmpの履歴データを提供します 。
- btmp :失敗したログイン試行のみを記録します。
lastを使用できます 各ファイルの内容を読み取るコマンド。
last -f /var/log/utmp
last -f /var/log/wtmp
last -f /var/log/btmp
lastlog コマンド
lastlog コマンドは、 var / log / lastlogの最後のログインの内容をフォーマットして出力します ファイル。次のように表示されます:
- ユーザー名
- ポート
- 最終ログイン時間。
このコマンドは、 / etc / passwdのユーザーの順序で出力を並べ替えます 。
結果は次のようになります。
Username Port From Latest
root pts/1 192.168.1.0 Thu feb 18 19:37:18 +0000 2021
will **Never logged in**
var **Never logged in**
sys **Never logged in**
test **Never logged in**
rack **Never logged in**