Кто не может взять лаской, тот не возьмет и строгостью (А.П. Чехов).

Как проверить историю входов пользователей в CentOS (Redhat 7,8)

Главное меню » CentOS » Как проверить историю входов пользователей в CentOS (Redhat 7,8)

12.07.2020

Беспокоитесь о том, кто вошел в систему? Да, вы можете проверить историю входа пользователя в систему на Linux. мы также можем проверить, что они делают на машине.

ЧТО ТАКОЕ TTY И PTY?

Tty – это собственное терминальное устройство, и это может быть любая консоль сервера/системы).
Pty – это терминальное устройство, которое эмулируется другой программой, такой как putty и т. д.

Как проверить историю входа пользователей в CentOS 7/8:

Есть много способов проверить историю входа пользователя. Мы покажем вам все эти способы и многое другое.

Проверка истории входа пользователя с помощью последней команды: мы можем проверить историю входа пользователя, который вошел на ваш сервер.

[root@andreyex ~]# last -2
user1       pts/1    192.168.121.1   Sun  Jul  5  14:27   still logged in
root        pts/1    192.168.121.1   Sun  Jul  5  14:26 - 14:26 (00:00)

2. Проверьте историю за определенный период времени: если вам нужно найти определенный период времени, чтобы проверить, когда пользователь вошел в этот конкретный период времени.

Мы можем проверить это, используя последнюю команду в следующем формате. Вы можете изменить эти значения в соответствии с вашими потребностями.

last -F | grep -E 'Apr ([ 1-9]|1[0-9]|2[0-9]|30)' | grep 2020

Используйте команду ниже, чтобы найти логин для конкретного пользователя.

[root@andreyex ~]# last -F user1 | grep -E 'Jul ([ 1-9]|1[0-9]|2[0-9]|30)' | grep 2020
user1 pts/1 192.168.121.1 Sun Jul 5 14:27:12 2020 - Sun Jul 5 14:27:30 2020 (00:00)

Читать Полезные команды для поиска системной информации, установки пакета и т. д. (Linux, Debian, Ubuntu, Kali Linux, RedHat, CentOS и т. д.)

3. Проверьте Bad Login History: мы также можем проверить пользователя, пытающегося получить доступ к серверу с неправильным паролем или забыть его. он также хранит всю историю об этом.

Мы можем использовать команду ниже, чтобы проверить это с помощью команды lastb.

[root@andreyex ~]# lastb
user1      ssh:notty   192.168.121.1  Sun  Jul  5  14:46 - 14:46 (00:00)
user1      ssh:notty   192.168.121.1  Sun  Jul  5  14:46 - 14:46 (00:00)
root       ssh:notty   192.168.121.1  Thu  Jul  2  14:11 - 14:11 (00:00)

Вы также можете использовать эти команды для проверки с помощью tail -f /var/log/btmp

ПРОВЕРЬТЕ ИСТОРИЮ ВХОДА С ИМЕНЕМ ХОСТА:

Мы также можем проверить имя хоста вошедшего в систему пользователя в последнем столбце, используя опцию «-a» с последней командой, как показано ниже.

[root@andreyex ~]# last -2 -a
user1    ssh:notty   Sun    Jul   5 14:50 - 14:50 (00:00)    192.168.121.1
user1    ssh:notty   Sun    Jul   5 14:46 - 14:46 (00:00)    192.168.121.1

Проверка выключения и уровня запуска: мы можем использовать опцию «-x» для проверки выключения и изменений уровня запуска на вашей машине, как показано ниже.

[root@andreyex ~]# last -10 -x
root       pts/1        192.168.121.1    Sun Jul 5 14:26 - 14:26 (00:00)
root       pts/0        192.168.121.1    Sun Jul 5 14:15 still logged in
root       tty1                          Sun Jul 5 14:14 still logged in
runlevel   (to lvl 3)   4.18.0-147.8.1.e Sun Jul 5 14:14 still running
reboot     system boot  4.18.0-147.8.1.e Sun Jul 5 14:13 still running
shutdown   system down  4.18.0-147.8.1.e Fri Jul 3 13:41 - 14:13 (2+00:32)

Мы также можем найти эти записи в файлах /var/log/secure и /var/log/auth.log на сервере Linux.

[root@andreyex ~]# cat /var/log/secure | grep Accepted | awk '{print $1,$2,$3,$9}'
Jul 2 13:58:58  root
Jul 2 14:11:50  root
Jul 3 12:36:08  root
Jul 5 14:15:16  root
Jul 5 14:26:51  root
Jul 5 14:27:02  user1
Jul 5 14:45:28  user1

Используйте команду ниже, чтобы увидеть неудачные попытки.

 cat /var/log/secure | grep failed | awk '{print $1,$2,$3,$11}'

Используйте «-R» для подавления поля имени хоста, как показано ниже.

[root@andreyex ~]# last -10 -R
user1       pts/1       Sun   Jul 5 14:45 - 14:46   (00:01)
user1       pts/1       Sun   Jul 5 14:27 - 14:27   (00:00)
root        pts/1       Sun   Jul 5 14:26 - 14:26   (00:00)
root        pts/0       Sun   Jul 5 14:15   still   logged in
root        tty1        Sun   Jul 5 14:14   still   logged in
reboot      system boot Sun   Jul 5 14:13   still   running

Команда lastlog очень полезна, когда вы хотите увидеть, кто не вошел в систему более 30-60 дней, а также покажет вам последнюю историю входа всех пользователей.

[root@andreyex ~]# lastlog
Username    Port      From               Latest
root        pts/1     192.168.121.1      Sun Jul 5 14:26:53 -0400 2020
bin                                      **Never logged in**
daemon                                   **Never logged in**
adm                                      **Never logged in**
lp                                       **Never logged in**
sync                                     **Never logged in**
shutdown                                 **Never logged in**
halt                                     **Never logged in**
mail                                     **Never logged in**
operator                                 **Never logged in**
games                                    **Never logged in**
ftp                                      **Never logged in**
nobody                                   **Never logged in**

Используйте команду «last pst/2», чтобы проверить терминал Linux, подключенный к машине.

Проверьте логин на основе имени пользователя : используйте команду «last <username>», чтобы проверить его.

[root@andreyex ~]# last user1
user1   pts/1    192.168.121.1   Sun   Jul 5 14:45 - 14:46  (00:01)
user1   pts/1    192.168.121.1   Sun   Jul 5 14:27 - 14:27  (00:00)

Вот и все.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Просмотров поста: 430