Как проверить историю входов пользователей в CentOS (Redhat 7,8)

Беспокоитесь о том, кто вошел в систему? Да, вы можете проверить историю входа пользователя в систему на Linux. мы также можем проверить, что они делают на машине.

 

ЧТО ТАКОЕ TTY И PTY?

• Tty — это собственное терминальное устройство, и это может быть любая консоль сервера/системы).
• Pty — это терминальное устройство, которое эмулируется другой программой, такой как putty и т. д.

 

Как проверить историю входа пользователей в CentOS 7/8:

Есть много способов проверить историю входа пользователя. Мы покажем вам все эти способы и многое другое.

1. Проверка истории входа пользователя с помощью последней команды: мы можем проверить историю входа пользователя, который вошел на ваш сервер.

[root@andreyex ~]# last -2
user1       pts/1    192.168.121.1   Sun  Jul  5  14:27   still logged in
root        pts/1    192.168.121.1   Sun  Jul  5  14:26 - 14:26 (00:00)

 

2. Проверьте историю за определенный период времени:  если вам нужно найти определенный период времени, чтобы проверить, когда пользователь вошел в этот конкретный период времени.

Мы можем проверить это, используя последнюю команду в следующем формате. Вы можете изменить эти значения в соответствии с вашими потребностями.

last -F | grep -E 'Apr ([ 1-9]|1[0-9]|2[0-9]|30)' | grep 2020

 

Используйте команду ниже, чтобы найти логин для конкретного пользователя.

[root@andreyex ~]# last -F user1 | grep -E 'Jul ([ 1-9]|1[0-9]|2[0-9]|30)' | grep 2020
user1 pts/1 192.168.121.1 Sun Jul 5 14:27:12 2020 - Sun Jul 5 14:27:30 2020 (00:00)

 

3. Проверьте Bad Login History:  мы также можем проверить пользователя, пытающегося получить доступ к серверу с неправильным паролем или забыть его. он также хранит всю историю об этом.

Мы можем использовать команду ниже, чтобы проверить это с помощью команды lastb.

[root@andreyex ~]# lastb
user1      ssh:notty   192.168.121.1  Sun  Jul  5  14:46 - 14:46 (00:00)
user1      ssh:notty   192.168.121.1  Sun  Jul  5  14:46 - 14:46 (00:00)
root       ssh:notty   192.168.121.1  Thu  Jul  2  14:11 - 14:11 (00:00)

 

Вы также можете использовать эти команды для проверки с помощью  tail -f /var/log/btmp

 

ПРОВЕРЬТЕ ИСТОРИЮ ВХОДА С ИМЕНЕМ ХОСТА:

Мы также можем проверить имя хоста вошедшего в систему пользователя в последнем столбце, используя опцию «-a» с последней командой, как показано ниже.

[root@andreyex ~]# last -2 -a
user1    ssh:notty   Sun    Jul   5 14:50 - 14:50 (00:00)    192.168.121.1
user1    ssh:notty   Sun    Jul   5 14:46 - 14:46 (00:00)    192.168.121.1

 

Проверка выключения и уровня запуска:  мы можем использовать опцию «-x» для проверки выключения и изменений уровня запуска на вашей машине, как показано ниже.

[root@andreyex ~]# last -10 -x
root       pts/1        192.168.121.1    Sun Jul 5 14:26 - 14:26 (00:00)
root       pts/0        192.168.121.1    Sun Jul 5 14:15 still logged in
root       tty1                          Sun Jul 5 14:14 still logged in
runlevel   (to lvl 3)   4.18.0-147.8.1.e Sun Jul 5 14:14 still running
reboot     system boot  4.18.0-147.8.1.e Sun Jul 5 14:13 still running
shutdown   system down  4.18.0-147.8.1.e Fri Jul 3 13:41 - 14:13 (2+00:32)

 

Мы также можем найти эти записи в файлах /var/log/secure и /var/log/auth.log на сервере Linux.

[root@andreyex ~]# cat /var/log/secure | grep Accepted | awk '{print $1,$2,$3,$9}'
Jul 2 13:58:58  root
Jul 2 14:11:50  root
Jul 3 12:36:08  root
Jul 5 14:15:16  root
Jul 5 14:26:51  root
Jul 5 14:27:02  user1
Jul 5 14:45:28  user1

 

Используйте команду ниже, чтобы увидеть неудачные попытки.

 cat /var/log/secure | grep failed | awk '{print $1,$2,$3,$11}'

 

Используйте «-R» для подавления поля имени хоста, как показано ниже.

[root@andreyex ~]# last -10 -R
user1       pts/1       Sun   Jul 5 14:45 - 14:46   (00:01)
user1       pts/1       Sun   Jul 5 14:27 - 14:27   (00:00)
root        pts/1       Sun   Jul 5 14:26 - 14:26   (00:00)
root        pts/0       Sun   Jul 5 14:15   still   logged in
root        tty1        Sun   Jul 5 14:14   still   logged in
reboot      system boot Sun   Jul 5 14:13   still   running

 

Команда lastlog очень полезна, когда вы хотите увидеть, кто не вошел в систему более 30-60 дней, а также покажет вам последнюю историю входа всех пользователей.

[root@andreyex ~]# lastlog
Username    Port      From               Latest
root        pts/1     192.168.121.1      Sun Jul 5 14:26:53 -0400 2020
bin                                      **Never logged in**
daemon                                   **Never logged in**
adm                                      **Never logged in**
lp                                       **Never logged in**
sync                                     **Never logged in**
shutdown                                 **Never logged in**
halt                                     **Never logged in**
mail                                     **Never logged in**
operator                                 **Never logged in**
games                                    **Never logged in**
ftp                                      **Never logged in**
nobody                                   **Never logged in**

 

Используйте команду «last pst/2», чтобы проверить терминал Linux, подключенный к машине.

Проверьте логин на основе имени пользователя : используйте команду «last <username>», чтобы проверить его.

[root@andreyex ~]# last user1
user1   pts/1    192.168.121.1   Sun   Jul 5 14:45 - 14:46  (00:01)
user1   pts/1    192.168.121.1   Sun   Jul 5 14:27 - 14:27  (00:00)

 

Вот и все.