Отчет о последней регистрации в системе всех или конкретного пользователя.

Posted by

В системе есть утилита , которая нам поможет отследить, кто логинился в нашей системе, когда заходит и как заходил. Данная утилита упорядочивает и выводит содержимое файла /var/log/lastlog, который регистрирует даты последнего входа пользователей в систему.

Выводимые данные:

  • Имя пользователя
  • Порт
  • Дата последнего входа в систему.

Пример:

keiz@ekz:~$ lastlog

Пользователь Порт С Последний раз

root **Никогда не входил в систему**

daemon **Никогда не входил в систему**

bin **Никогда не входил в систему**

sys **Никогда не входил в систему**

sync **Никогда не входил в систему**

games **Никогда не входил в систему**

man **Никогда не входил в систему**

lp **Никогда не входил в систему**

mail **Никогда не входил в систему**

news **Никогда не входил в систему**

uucp **Никогда не входил в систему**

proxy **Никогда не входил в систему**

www-data **Никогда не входил в систему**

backup **Никогда не входил в систему**

list **Никогда не входил в систему**

irc **Никогда не входил в систему**

gnats **Никогда не входил в систему**

nobody **Никогда не входил в систему**

libuuid **Никогда не входил в систему**

syslog **Никогда не входил в систему**

messagebus **Никогда не входил в систему**

avahi-autoipd **Никогда не входил в систему**

avahi **Никогда не входил в систему**

couchdb **Никогда не входил в систему**

usbmux **Никогда не входил в систему**

speech-dispatcher **Никогда не входил в систему**

kernoops **Никогда не входил в систему**

pulse **Никогда не входил в систему**

rtkit **Никогда не входил в систему**

saned **Никогда не входил в систему**

hplip **Никогда не входил в систему**

gdm **Никогда не входил в систему**

keiz pts/1 192.168.1.38 Сб. июня 2 17:56:32 +0400 2012

haldaemon **Никогда не входил в систему**

sshd **Никогда не входил в систему**

postfix **Никогда не входил в систему**

xrdp **Никогда не входил в систему**

Как можно видеть данные выводятся согласно расположению пользователей в файле /etc/passwd.

Если пользователю или системной учетной записи, например, как rkit, pulse, dgm , sshd — выводится строка **Никогда не входил в систему** значит данные учетные записи никогда не регистрировались в системе.

 

Когда логов нет:

keiz@ekz:~$ lastlog

lastlog: Failed to get the entry for UID 0

keiz@ekz:~$

Но утилита lastlog может и упорядочить выводимую информацию благодаря ключам

Показать записи за последние 2 дня:

keiz@ekz:~$ lastlog -b 2

 

Показать записи новее чем 3 ня:

keiz@ekz:~$ lastlog -t 3

 

Если каким либо образом получили привилегированные права в чужой системе, то перед тем как выйти с нее очистите файлы логов:

keiz@ekz:~$ sudo -s

root@ekz:~# cat /dev/null > /var/log/auth

root@ekz:~# cat /dev/null > /var/log/secure

root@ekz:~# cat /dev/null > /var/log/lastlog

, но есть одно но у этого способа, админ уже будет знать, что в его системе, что-то не чисто.

Leave a Reply

Ваш e-mail не будет опубликован. Обязательные поля помечены *

одиннадцать − восемь =