В системе Ubuntu 10.10 есть утилита lastlog, которая нам поможет отследить, кто логинился в нашей системе, когда заходит и как заходил. Данная утилита упорядочивает и выводит содержимое файла /var/log/lastlog, который регистрирует даты последнего входа пользователей в систему.
Выводимые данные:
- Имя пользователя
- Порт
- Дата последнего входа в систему.
Пример:
keiz@ekz:~$ lastlog
Пользователь Порт С Последний раз
root **Никогда не входил в систему**
daemon **Никогда не входил в систему**
bin **Никогда не входил в систему**
sys **Никогда не входил в систему**
sync **Никогда не входил в систему**
games **Никогда не входил в систему**
man **Никогда не входил в систему**
lp **Никогда не входил в систему**
mail **Никогда не входил в систему**
news **Никогда не входил в систему**
uucp **Никогда не входил в систему**
proxy **Никогда не входил в систему**
www-data **Никогда не входил в систему**
backup **Никогда не входил в систему**
list **Никогда не входил в систему**
irc **Никогда не входил в систему**
gnats **Никогда не входил в систему**
nobody **Никогда не входил в систему**
libuuid **Никогда не входил в систему**
syslog **Никогда не входил в систему**
messagebus **Никогда не входил в систему**
avahi-autoipd **Никогда не входил в систему**
avahi **Никогда не входил в систему**
couchdb **Никогда не входил в систему**
usbmux **Никогда не входил в систему**
speech-dispatcher **Никогда не входил в систему**
kernoops **Никогда не входил в систему**
pulse **Никогда не входил в систему**
rtkit **Никогда не входил в систему**
saned **Никогда не входил в систему**
hplip **Никогда не входил в систему**
gdm **Никогда не входил в систему**
keiz pts/1 192.168.1.38 Сб. июня 2 17:56:32 +0400 2012
haldaemon **Никогда не входил в систему**
sshd **Никогда не входил в систему**
postfix **Никогда не входил в систему**
xrdp **Никогда не входил в систему**
Как можно видеть данные выводятся согласно расположению пользователей в файле /etc/passwd.
Если пользователю или системной учетной записи, например, как rkit, pulse, dgm , sshd — выводится строка **Никогда не входил в систему** значит данные учетные записи никогда не регистрировались в системе.
Когда логов нет:
keiz@ekz:~$ lastlog
lastlog: Failed to get the entry for UID 0
keiz@ekz:~$
Но утилита lastlog может и упорядочить выводимую информацию благодаря ключам
Показать записи за последние 2 дня:
keiz@ekz:~$ lastlog -b 2
Показать записи новее чем 3 ня:
keiz@ekz:~$ lastlog -t 3
Если каким либо образом получили привилегированные права в чужой системе, то перед тем как выйти с нее очистите файлы логов:
keiz@ekz:~$ sudo -s
root@ekz:~# cat /dev/null > /var/log/auth
root@ekz:~# cat /dev/null > /var/log/secure
root@ekz:~# cat /dev/null > /var/log/lastlog
, но есть одно но у этого способа, админ уже будет знать, что в его системе, что-то не чисто.