Compruebe los intentos de inicio de sesión de usuario exitosos y fallidos en Linux

Para los administradores del sistema Linux, es muy importante conocer los intentos de inicio de sesión de usuario exitosos y fallidos en sus cajas de Linux. En esta publicación, analizaremos los comandos que ayudarán a los administradores de sistemas Linux a determinar los intentos de inicio de sesión de usuario exitosos y fallidos.

último comando

El último comando muestra el historial de intentos exitosos de inicio de sesión del usuario y los detalles de reinicio del sistema al leer el archivo /var/log/wtmp . Este archivo captura todas las sesiones de inicio y cierre de sesión, incluido el tiempo de inicio de sesión, la duración de la sesión del usuario y el tty (terminal) donde tuvo lugar la sesión del usuario. Para mostrar todas las actividades de inicio de sesión, cierre de sesión y reinicio del sistema del usuario, escriba el comando 'último' en el terminal sin ningún argumento. A continuación se muestra un ejemplo:

# last
root     pts/0        117.206.178.226  Sun Nov 30 10:47   still logged in   
root     pts/0        117.206.178.226  Sat Nov 29 22:47 - 22:50  (00:03)    
root     pts/1        117.206.178.226  Sat Nov 29 22:17 - 22:46  (00:29)    
root     pts/0        117.206.183.48   Wed Nov 26 21:35 - 21:50  (00:14)    
root     pts/0        117.206.185.124  Tue Nov 25 23:23 - 23:24  (00:01)    
...........

Para mostrar solo los detalles de reinicio del sistema:

# last reboot
reboot   system boot  2.6.32-431.23.3. Sun Sep  7 02:07 - 10:49 (84+09:41)  
reboot   system boot  2.6.32-431.23.3. Sun Sep  7 01:58 - 02:07  (00:08)    
reboot   system boot  2.6.32-431.17.1. Sat Sep  6 12:13 - 01:58  (13:44)    

wtmp begins Sat Sep  6 12:13:56 2014

Hay otro comando que enumera información más detallada sobre inicios de sesión y reinicios recientes. Este comando es utmpdump y se ejecuta de la siguiente manera:

# utmpdump /var/log/wtmp

último comandob

El comando lastb muestra la información de intentos de inicio de sesión incorrectos o intentos de inicio de sesión fallidos al leer el archivo /var/log/btmp . Este archivo realiza un seguimiento de todas las actividades de intentos de inicio de sesión fallidos, incluido el nombre de inicio de sesión, la hora y el tty (terminal) donde se realizó el intento. Para mostrar todos los intentos de inicio de sesión fallidos, escriba el comando 'lastb' en el terminal sin ningún argumento. A continuación se muestra un ejemplo.

# lastb
admin    ssh:notty    125.161.19.132   Sun Nov 30 09:49 - 09:49  (00:00)    
admin    ssh:notty    125.161.19.132   Sun Nov 30 09:48 - 09:48  (00:00)    
root     ssh:notty    61.174.49.105    Sun Nov 30 09:33 - 09:33  (00:00)    
root     ssh:notty    61.174.49.105    Sun Nov 30 09:33 - 09:33  (00:00)    
root     ssh:notty    61.174.49.105    Sun Nov 30 09:33 - 09:33  (00:00)    
root     ssh:notty    61.174.49.105    Sun Nov 30 09:33 - 09:33  (00:00)    
root     ssh:notty    61.174.49.105    Sun Nov 30 09:33 - 09:33  (00:00)    
root     ssh:notty    61.174.49.105    Sun Nov 30 09:33 - 09:33  (00:00)    
root     ssh:notty    61.174.49.105    Sun Nov 30 09:33 - 09:33  (00:00)    
root     ssh:notty    61.174.49.105    Sun Nov 30 09:33 - 09:33  (00:00)
...........................

Comando lastlog

El comando lastlog muestra información de los inicios de sesión más recientes de todos los usuarios o de un usuario dado al leer el archivo /var/log/lastlog .

# lastlog 
Username         Port     From             Latest
root             pts/0    117.206.178.226  Sun Nov 30 10:47:03 -0600 2014
bin                                        **Never logged in**
daemon                                     **Never logged in**
adm                                        **Never logged in**
lp                                         **Never logged in**
sync                                       **Never logged in**
shutdown                                   **Never logged in**
...............