Si trabaja en una empresa mediana o grande, es muy probable que trabaje con muchos otros administradores de sistemas.
Mientras realiza sus tareas de administrador del sistema, algunos usuarios pueden intentar conectarse a su servidor para realizar sus tareas diarias.
Sin embargo, en algunos casos, puede encontrar que algo ha cambiado en su servidor. Como consecuencia, se pregunta quién realizó el cambio .
Por suerte para ti, hay muchas formas de encontrar quién inició sesión por última vez en tu servidor.
En este tutorial, aprenderá acerca de los diferentes comandos útiles que puede usar para verificar los últimos inicios de sesión en su computadora.
Buscar el último inicio de sesión usando el último
La forma más fácil de encontrar el último inicio de sesión en su computadora Linux es ejecutar el comando "último" sin opciones. Con este comando, se le presentarán todos los últimos inicios de sesión realizados en la computadora.
$ last
# To check the last ten login attempts, you can pipe it with "head"
$ last | head -n 10
Como puede ver, de forma predeterminada, la salida se trunca:el usuario "devconnected" solo se muestra como "devconne" simplemente usando el último comando.
Si encuentra los últimos inicios de sesión usando nombres de usuario y nombres de host completos , tienes que añadir el “-w opción ” o “–fullnames “.
$ last -w
$ last --fullnames
Columnas del último comando
Al echar un vistazo al último comando, la salida puede ser un poco confusa. Hay muchas columnas, pero no sabemos exactamente qué representan.
En primer lugar, existe una diferencia entre inicio de sesión de usuario y reinicios.
Como puede ver, los inicios de sesión de los usuarios comienzan con el nombre de el usuario que se conectó a la computadora . Por otro lado, los registros de "reinicio" obviamente comienzan con la palabra clave "reinicio" .
Columnas de inicio de sesión de usuario
Para registros de usuario , el significado de las diferentes columnas es el siguiente:
- Nombre de usuario :el nombre de usuario que se conectó a la computadora;
- TTY :el índice del TTY utilizado por el usuario para conectarse a la computadora. “:0” indica que la conexión es local y puede utilizar el comando “tty” para encontrar el dispositivo utilizado por el usuario;
$ tty
- El nombre de la pantalla :dado que X se usa como servidor de pantalla en cada máquina, puede usar una pantalla local (:0, :1, etc.) o una pantalla remota. Si está interesado en ejecutar aplicaciones gráficas de forma remota, puede leer nuestra guía sobre el protocolo X;
- Hora del inicio de sesión :iniciar el servidor es bastante diferente a iniciar sesión en él. Esta hora representa el momento en que se proporcionó la contraseña en la interfaz;
- Estado de inicio de sesión :está "todavía conectado" o "inactivo" con la duración de la sesión.
Por ejemplo, en el siguiente ejemplo, la duración de la sesión fue de doce minutos.
Columnas de pseudo reinicio
En cada reinicio, su sistema agrega una nueva línea a la lista actual de reinicios realizados en su computadora.
Esas líneas especiales, que comienzan con “reboot “, tiene las siguientes columnas:
- Reiniciar :especificando que esto no es un inicio de sesión sino un reinicio del sistema;
- Detalles sobre el reinicio :en este caso, en realidad fue un "arranque del sistema", lo que significa que el sistema acaba de iniciarse;
- Versión del núcleo :la versión del kernel cargada al arrancar el sistema. Puede ser diferente si aloja una versión diferente del kernel en su partición de arranque.
- Hora de la bota :la hora representa la hora de arranque del sistema. Es seguido por una indicación de "aún en ejecución" o la hora de finalización seguida por la duración de la sesión entre paréntesis.
Ahora que ha visto cómo puede enumerar todos los últimos inicios de sesión en su servidor, veamos si está interesado en los malos intentos de inicio de sesión.
Buscar último inicio de sesión por fecha
En algunos casos, es posible que le interese el inicio de sesión que se realizó desde o hasta una fecha específica en el pasado, o en los últimos cinco minutos.
Para encontrar el último inicio de sesión por fecha, ejecute el comando "last" con el comando "–since" y especifique la fecha para buscar los últimos inicios de sesión.
Del mismo modo, puede utilizar el comando "–until" para buscar los intentos de inicio de sesión realizados hasta una fecha determinada en el pasado.
$ last --since <date>
$ last --until <date>Entonces, ¿cuáles son las fechas que puede usar para buscar?
Formatos de fecha se especifican en la última página de documentación.
Como ejemplo, digamos que desea encontrar todos los intentos de inicio de sesión en los últimos dos días, debe ejecutar el siguiente comando
$ last --since -2days
De manera similar, si desea encontrar todos los intentos de inicio de sesión realizados en los últimos cinco días, debe ejecutar el siguiente comando
$ last --until -5daysComo un diagrama a menudo ayuda más que las palabras, aquí hay una manera de entender el "–desde ” y “–hasta ” opciones.
Encuentre los últimos intentos de inicio de sesión incorrectos usando lastb
Para encontrar los últimos intentos de inicio de sesión incorrectos en su servidor Linux, debe usar "lastb" con derechos de administrador.
$ sudo lastb
Si no está seguro de cómo verificar dichos derechos, asegúrese de leer nuestras guías especializadas
Como puede ver, el resultado es bastante similar al del "último ” comando:el nombre de usuario intentado, el dispositivo utilizado y la hora del intento.
En este caso, la duración “(00:00) ” se corregirá ya que un intento de conexión no tiene duración alguna.
Tenga en cuenta que la línea del dispositivo puede mostrar "ssh:notty" en caso de que el intento de inicio de sesión se haya realizado desde un terminal SSH.
Inspeccionar el archivo auth.log
Como alternativa, puede inspeccionar el contenido del archivo "/var/log/auth.log" para ver todos los intentos fallidos en su servidor.
$ tail -f -n 100 /var/log/auth.log | grep -i failed
Buscar los últimos inicios de sesión SSH en Linux
Para encontrar los últimos inicios de sesión SSH realizados en su máquina Linux, simplemente puede inspeccionar el contenido de "/var/log/auth.log" y canalizarlo con "grep" para encontrar registros SSH.
$ tail -f -n 100 /var/log/auth.log | grep -i sshd
Alternativamente, puede inspeccionar los registros del servicio SSH ejecutando el "journalctl comando ” seguido del “-u ” opción para “unidad ” y el nombre del servicio .
$ sudo journalctl -r -u ssh | grep -i failed
Nota :interesado en listar servicios y sus estados en su servidor? Aquí hay una guía sobre cómo enumerar sus servicios en Linux.
Si no ve ningún registro relacionado con el servicio SSH, es posible que esté relacionado con su archivo de configuración de SSH, es decir, con "PrintLastLog ” opción.
$ cat /etc/ssh/sshd_config | grep PrintLastLog
Si esta opción está configurada en "No" en su servidor y desea imprimir los últimos registros, asegúrese de descomentar la línea con el valor "sí". No olvide reiniciar su servidor SSH después de eso.
$ sudo nano /etc/ssh/sshd_config
PrintLastLog yes
$ sudo systemctl restart ssh
$ sudo systemctl status ssh¡Estupendo! Aprendiste cómo puedes encontrar los últimos registros SSH en tu computadora.
Mostrar el último inicio de sesión del usuario en Linux
Para encontrar las últimas horas de inicio de sesión de todos los usuarios en su máquina Linux, puede usar el comando "lastlog" sin opciones. De forma predeterminada, se le presentará la lista de todos los usuarios con sus últimos intentos de inicio de sesión.
Alternativamente, puede usar el “-u ” opción para “usuario ” y especifique el usuario que está buscando.
$ lastlog
$ lastlog -u <user>
Como puede ver, sin opciones, el comando devolverá la lista de todas las cuentas en su máquina, incluso la raíz y las del sistema.
Conclusión
En este tutorial, aprendió cómo puede encontrar fácilmente los últimos intentos de inicio de sesión realizados en una computadora con Linux.
Ya sea que esos intentos se hayan realizado a través de un shell de inicio de sesión o una sesión SSH, ahora sabe qué archivos inspeccionar y qué herramientas usar para recuperarlos.
Recuerde que puede inspeccionar esos archivos pero también puede trazarlos en una solución de tablero como Kibana, aquí hay una guía sobre cómo lograrlo.
Si está interesado en Administración del sistema Linux , tenemos una sección completa dedicada a él en el sitio web, ¡así que asegúrese de echarle un vistazo!