Cómo ver los registros de inicio de sesión de usuarios ssh en Linux
El registro de inicio de sesión en Linux se encuentra en el siguiente directorio:
cd /var/log
Vea el registro de inicio de sesión del usuario ssh:
Sin seguridad
Gestión de registros de Linux:
1. Introducción a los registros
Los registros son muy importantes para la seguridad. Registra varias cosas que suceden en el sistema todos los días. Puede usarlo para verificar la causa del error o los rastros dejados por el atacante al atacar. Las principales funciones de los logs son: auditoría y seguimiento. También puede monitorear el estado del sistema en tiempo real, monitorear y rastrear intrusos, etc.
Hay tres subsistemas de registro principales en los sistemas Linux:
Registro del tiempo de conexión: ejecutado por múltiples programas que escriben registros en /var/log/wtmp y /var /run/utmp . Programas como login actualizan los archivos wtmp y utmp para que los administradores del sistema puedan realizar un seguimiento de quién inició sesión en el sistema y cuándo. Estadísticas de proceso: realizadas por el núcleo del sistema. Cuando finaliza un proceso, los registros de cada proceso se escriben en el archivo de estadísticas del proceso (pacct o acct). El propósito de las estadísticas de procesos es proporcionar estadísticas de uso de comandos para los servicios básicos del sistema.
Registro de errores: ejecutado por syslogd (8). Varios demonios del sistema, programas de usuario y el kernel informan eventos importantes al archivo /var/log/messages a través de syslog (3). Hay muchos programas UNIX que también crean registros. Los servidores que brindan servicios de red como HTTP y FTP también mantienen registros detallados. Los archivos de registro comúnmente utilizados son los siguientes:
registros de acceso HTTP/transmisión web
acct/pacct registra comandos de usuario
aculog registra actividades del MÓDEM
btmp registra falla
lastlog registra el último evento de inicio de sesión exitoso y el último evento de inicio de sesión fallido.
messages registra mensajes de syslog (algunos mensajes están vinculados a archivos syslog)
sudolog registra comandos emitidos usando sudo
sulog registra el uso de comandos su
p>syslog registra mensajes de syslog (generalmente vinculados al archivo de mensajes)
sulog registra comandos emitidos usando sudo. (generalmente vinculado al archivo de mensajes)
utmp registra cada usuario que ha iniciado sesión actualmente
wtmp registra permanentemente la hora de entrada y salida de cada inicio de sesión de usuario
Registro de xferlog Sesiones FTP
Los archivos de registro utmp, wtmp y lastlog son la clave para la mayoría de los subsistemas de registro UNIX reutilizables: realizan un seguimiento de los registros de un usuario y los mantienen en un bucle. Subsistema: registra los inicios y cierres de sesión de los usuarios. La información del usuario actualmente conectado se registra en el archivo utmp; el inicio de sesión y el cierre de sesión se registran en el archivo wtmp; el archivo lastlog se puede ver mediante el comando lastlog. Los intercambios de datos, los apagados y los reinicios también se registran en el archivo wtmp. Todos los registros incluyen marcas de tiempo. En sistemas con una gran cantidad de usuarios, estos archivos (los archivos de último registro suelen ser más pequeños) pueden crecer muy rápidamente. Por ejemplo, los archivos wtmp pueden crecer indefinidamente a menos que se intercepten periódicamente. Muchos sistemas configuran wtmp para que se repita diaria o semanalmente. A menudo se modifica mediante scripts ejecutados por cron. Estos scripts cambian el nombre y reciclan archivos wtmp.
Normalmente, al final del primer día, wtmp se denomina wtmp.1; después del segundo día, wtmp.1 se convierte en wtmp.2, y así sucesivamente hasta wtmp.2.
Cada vez. un usuario inicia sesión, el programa de inicio de sesión buscará el UID del usuario en el archivo lastlog. Si lo encuentra, la hora del último inicio de sesión y cierre de sesión del usuario y el nombre del host se escribirán en la salida estándar. Luego, el programa de inicio de sesión registra la nueva hora de inicio de sesión en lastlog. Una vez escrito el nuevo registro de último registro, abra el archivo utmp e inserte el registro utmp del usuario. Los archivos utmp son utilizados por varios archivos de comandos, incluidos who, w, users y finger.
A continuación, el programa de inicio de sesión abre el archivo wtmp y agrega el registro utmp del usuario. Cuando el usuario inicia y cierra sesión, se agregarán al archivo los mismos registros utmp con marcas de tiempo actualizadas.
Los archivos wtmp son utilizados por los programas last y ac.
2. Comandos específicos
Los archivos Wtmp y utmp son archivos binarios y no se pueden cortar, pegar ni fusionar usando comandos como tail (usando el comando cat). Los usuarios deben utilizar quién, w, usuarios, último y ac para utilizar la información contenida en estos dos archivos.
who: el comando who consulta el archivo utmp e informa de cada usuario que ha iniciado sesión actualmente. La salida predeterminada para quién incluye nombre de usuario, tipo de terminal, fecha de inicio de sesión y host remoto. Por ejemplo: quién (Entrar) muestra
chyang pts/o 18 de agosto 15:06
ynguo pts/2 18 de agosto 15:32
ynguo pts/ 3 18 agosto 13:55
lewis pts/4 18 agosto 13:35
ynguo pts/7 18 agosto 14:12
ylou pts/8 agosto 18 14:15
Si se especifica el nombre del archivo wtmp, el comando who consultará todos los registros anteriores. El comando who /var/log/wtmp informará cada inicio de sesión desde que se creó o eliminó el archivo wtmp.
w: El comando w consulta el archivo utmp y muestra información sobre cada usuario y sus procesos en ejecución en el sistema actual.
Por ejemplo: w (Intro) muestra 3:36 p. m. hasta 1 día, 22:34, 6 usuarios, promedio de carga: 0,23, 0,29, 0,27
USUARIO TTY DESDE LOGIN@ IDLE JCPU PCPU QUÉ
chyang pts/0 202.38.68.242 3:06 pm 2:04 0.08s 0.04s -bash
ynguo pts/2 202.38.79.47 3:32 pm 0.00s 0.14s 0.05 w
lewis pts/3 202.38.64.233 1:55pm 30:39 0.27s 0.22s -bash
lewis pts/4 202.38.64.233 1:35pm 6.00s 4.03s 0.01s sh/home/users/
ynguo pts/7 simba.nic.ustc.e 2:12 p.m. 0.00s 0.47s 0.24s correo telnet
ylou pts/8 202.38.64.235 2:15 p.m. 1:09m 0.10 s 0.04s -bash
usuarios: usuarios Imprime los usuarios actualmente conectados en una línea separada, y cada nombre de usuario mostrado corresponde a una sesión de inicio de sesión. Si un usuario tiene varias sesiones de inicio de sesión, su nombre de usuario se mostrará la misma cantidad de veces. Por ejemplo: chyang lewis lewis ylou ynguo ynguo
último: el último comando busca en wtmp para mostrar los usuarios que han iniciado sesión desde que se creó el archivo por primera vez. Por ejemplo
chyang pts/9 202.38.68.242 martes 1 de agosto 08:34 - 11:23 (02:49)
cfan pts/6 202.38.64.224 martes 1 de agosto 08: 33 - 08:48 (00:14)
chyang pts/ 4 202.38.68.242 martes 1 de agosto 08:32 - 12:13 (03:40)
lewis pts/3 202.38 .64.233 martes 1 de agosto 08:06 - 11:09 (03:03)
lewis pts/2 202.38.64.233 martes 1 de agosto 07:56 - 11:09 (03:12)
Registro de vista de Linux:
# cd /var/log
# menos seguro
o
# menos mensajes
p>
Registros de inicios de sesión más recientes:
# último
Si está satisfecho, haga clic a la derecha para aceptar la respuesta. Aún tienes preguntas, haz clic en la pregunta de seguimiento
p>¡Espero que mi respuesta te sea útil y espero que la adoptes!
~O(∩_∩)O~