Беспокоитесь о том, кто вошел в систему? Да, вы можете проверить историю входа пользователя в систему на Linux. мы также можем проверить, что они делают на машине.
ЧТО ТАКОЕ TTY И PTY?
- Tty – это собственное терминальное устройство, и это может быть любая консоль сервера/системы).
- Pty – это терминальное устройство, которое эмулируется другой программой, такой как putty и т. д.
Как проверить историю входа пользователей в CentOS 7/8:
Есть много способов проверить историю входа пользователя. Мы покажем вам все эти способы и многое другое.
- Проверка истории входа пользователя с помощью последней команды: мы можем проверить историю входа пользователя, который вошел на ваш сервер.
[root@andreyex ~]# last -2 user1 pts/1 192.168.121.1 Sun Jul 5 14:27 still logged in root pts/1 192.168.121.1 Sun Jul 5 14:26 - 14:26 (00:00)
2. Проверьте историю за определенный период времени: если вам нужно найти определенный период времени, чтобы проверить, когда пользователь вошел в этот конкретный период времени.
Мы можем проверить это, используя последнюю команду в следующем формате. Вы можете изменить эти значения в соответствии с вашими потребностями.
last -F | grep -E 'Apr ([ 1-9]|1[0-9]|2[0-9]|30)' | grep 2020
Используйте команду ниже, чтобы найти логин для конкретного пользователя.
[root@andreyex ~]# last -F user1 | grep -E 'Jul ([ 1-9]|1[0-9]|2[0-9]|30)' | grep 2020 user1 pts/1 192.168.121.1 Sun Jul 5 14:27:12 2020 - Sun Jul 5 14:27:30 2020 (00:00)
3. Проверьте Bad Login History: мы также можем проверить пользователя, пытающегося получить доступ к серверу с неправильным паролем или забыть его. он также хранит всю историю об этом.
Мы можем использовать команду ниже, чтобы проверить это с помощью команды lastb.
[root@andreyex ~]# lastb user1 ssh:notty 192.168.121.1 Sun Jul 5 14:46 - 14:46 (00:00) user1 ssh:notty 192.168.121.1 Sun Jul 5 14:46 - 14:46 (00:00) root ssh:notty 192.168.121.1 Thu Jul 2 14:11 - 14:11 (00:00)
Вы также можете использовать эти команды для проверки с помощью tail -f /var/log/btmp
ПРОВЕРЬТЕ ИСТОРИЮ ВХОДА С ИМЕНЕМ ХОСТА:
Мы также можем проверить имя хоста вошедшего в систему пользователя в последнем столбце, используя опцию «-a» с последней командой, как показано ниже.
[root@andreyex ~]# last -2 -a user1 ssh:notty Sun Jul 5 14:50 - 14:50 (00:00) 192.168.121.1 user1 ssh:notty Sun Jul 5 14:46 - 14:46 (00:00) 192.168.121.1
Проверка выключения и уровня запуска: мы можем использовать опцию «-x» для проверки выключения и изменений уровня запуска на вашей машине, как показано ниже.
[root@andreyex ~]# last -10 -x root pts/1 192.168.121.1 Sun Jul 5 14:26 - 14:26 (00:00) root pts/0 192.168.121.1 Sun Jul 5 14:15 still logged in root tty1 Sun Jul 5 14:14 still logged in runlevel (to lvl 3) 4.18.0-147.8.1.e Sun Jul 5 14:14 still running reboot system boot 4.18.0-147.8.1.e Sun Jul 5 14:13 still running shutdown system down 4.18.0-147.8.1.e Fri Jul 3 13:41 - 14:13 (2+00:32)
Мы также можем найти эти записи в файлах /var/log/secure и /var/log/auth.log на сервере Linux.
[root@andreyex ~]# cat /var/log/secure | grep Accepted | awk '{print $1,$2,$3,$9}' Jul 2 13:58:58 root Jul 2 14:11:50 root Jul 3 12:36:08 root Jul 5 14:15:16 root Jul 5 14:26:51 root Jul 5 14:27:02 user1 Jul 5 14:45:28 user1
Используйте команду ниже, чтобы увидеть неудачные попытки.
cat /var/log/secure | grep failed | awk '{print $1,$2,$3,$11}'
Используйте «-R» для подавления поля имени хоста, как показано ниже.
[root@andreyex ~]# last -10 -R user1 pts/1 Sun Jul 5 14:45 - 14:46 (00:01) user1 pts/1 Sun Jul 5 14:27 - 14:27 (00:00) root pts/1 Sun Jul 5 14:26 - 14:26 (00:00) root pts/0 Sun Jul 5 14:15 still logged in root tty1 Sun Jul 5 14:14 still logged in reboot system boot Sun Jul 5 14:13 still running
Команда lastlog очень полезна, когда вы хотите увидеть, кто не вошел в систему более 30-60 дней, а также покажет вам последнюю историю входа всех пользователей.
[root@andreyex ~]# lastlog Username Port From Latest root pts/1 192.168.121.1 Sun Jul 5 14:26:53 -0400 2020 bin **Never logged in** daemon **Never logged in** adm **Never logged in** lp **Never logged in** sync **Never logged in** shutdown **Never logged in** halt **Never logged in** mail **Never logged in** operator **Never logged in** games **Never logged in** ftp **Never logged in** nobody **Never logged in**
Используйте команду «last pst/2», чтобы проверить терминал Linux, подключенный к машине.
Проверьте логин на основе имени пользователя : используйте команду «last <username>», чтобы проверить его.
[root@andreyex ~]# last user1 user1 pts/1 192.168.121.1 Sun Jul 5 14:45 - 14:46 (00:01) user1 pts/1 192.168.121.1 Sun Jul 5 14:27 - 14:27 (00:00)
Вот и все.