¿Cómo ver los registros de inicio de sesión de los usuarios del sistema en Linux?
Linux mira el archivo /var/log/wtmp para verificar si hay inicios de sesión de IP sospechosos.
last -f /var/log/wtmp
El archivo de registro registra permanentemente el inicio y cierre de sesión de cada usuario y los eventos de inicio y apagado del sistema. Por lo tanto, a medida que aumenta el tiempo de actividad del sistema, aumentará el tamaño de los archivos.
La tasa de aumento depende del número de inicios de sesión de usuarios del sistema. El archivo de registro se puede utilizar para ver los registros de inicio de sesión del usuario.
El último comando obtiene esta información accediendo al archivo y muestra los registros de inicio de sesión del usuario en orden inverso, de atrás hacia adelante. last también puede mostrar los registros correspondientes según el usuario, el tty del terminal o la hora.
Compruebe la hora de inicio de sesión de la IP sospechosa en el archivo /var/log/secure.
En segundo lugar, el script genera el historial de operaciones de todos los usuarios conectados.
En el entorno del sistema Linux, ya sea el usuario root u otros usuarios, solo después de iniciar sesión en el sistema podemos ver el historial a través del historial de comandos. Sin embargo, si varias personas inician sesión. un servidor, un día debido a que alguien puede eliminar datos importantes debido a una operación incorrecta. Ver el historial (comando: historial) no tiene sentido en este momento (porque el historial solo es válido para usuarios que han iniciado sesión, e incluso el usuario root no puede obtener el historial de otros usuarios). ¿Hay alguna manera de lograr un historial de operaciones registrando la dirección IP y un nombre de usuario después de iniciar sesión? Respuesta: Sí.
Esto se puede lograr agregando el siguiente código a /etc/profile:
PS 1 = " ` whoami `@ ` hostname `: " '[$PWD]' p>
USER_IP = ` ¿quién eres? gt;/dev/null | awk "{ print $NF }" | sed-e ' s/[()]//g ' ` s p>
if[" $userIP" = "" ]
Entonces
USER_IP=`hostname '
El barco no corre con los gastos de carga p>
Si [! -d /tmp/dbasky ]
Entonces
mkdir /tmp/dbasky
chmod 777 /tmp/dbasky
El barco No pagar costes de carga
Si [! -d/tmp/DBA sky/$ {log name} ]
Entonces
mkdir /tmp/dbasky/${LOGNAME}
chmod 300 /tmp /dbasky/${LOGNAME}
El barco no corre con los costos de carga
Tamaño del historial de exportación=4096
DT = ` fecha " Y- M- d _ H: M: S " ` d
exportar archivo histórico = "/tmp/DBA sky/$ { LOGNAME }/$ { USER _ IP }-DBA sky $DT "
chmod 600/tmp/DBA sky/$ { LOGNAME }/* DBA sky * 2 gt;/dev/null
La fuente /etc/profile utiliza el script para que surta efecto.
Cierre la sesión del usuario y luego vuelva a iniciarla.
Este script crea un nuevo directorio dbasky en el /tmp del sistema y registra todos los usuarios que iniciaron sesión en el sistema y sus direcciones IP (nombres de archivos).
Cada vez que un usuario inicia o cierra sesión, se crea un archivo correspondiente para guardar el historial de operaciones del usuario durante el período de inicio de sesión. Este método se puede utilizar para monitorear la seguridad del sistema.
root@zsc6:[/tmp/dbasky/root]ls
10.1.80 47 DBA cielo 2013-10-24_12:53:08