wtorek, 2024-02-27

Polecenia last, lastb i lastlog

W systemach Linux polecenia last, lastb i lastlog są używane do wyświetlania informacji o logowaniach użytkowników. To przydatne narzędzia do monitorowania dostępu do systemu, które umożliwiają szybkie zidentyfikowanie potencjalnych nietypowych zdarzeń związanych z logowaniem.

Polecenie last

To polecenie wyświetla listę ostatnich logowań użytkowników. Korzysta ono z pliku /var/log/wtmp do przechowywania informacji o sesjach logowania. Możesz użyć tego polecenia, aby zobaczyć, kto logował się do systemu, z jakiego adresu IP, kiedy rozpoczęła się sesja i kiedy się zakończyła.

Przykładowe użycie

To polecenie pokaże listę ostatnich logowań użytkowników wraz z informacjami takimi jak nazwa użytkownika, terminal, adres IP, czas rozpoczęcia i zakończenia sesji:

last

Przykładowe wyjście polecenia last

Wyjście polecenia `last” wygląda mniej więcej tak:

jdoe     pts/1        192.168.1.5      Sat Feb 24 22:10   still logged in
asmith   pts/0        192.168.1.8      Sat Feb 24 21:53 - 22:08  (00:15)
jdoe     tty2                          Sat Feb 24 20:52 - 21:01  (00:09)
reboot   system boot  4.15.0-45-generic Sat Feb 24 20:49 - 22:12  (01:23)

W tym przykładzie:

• pierwsza kolumna pokazuje nazwę użytkownika (np. jdoe, asmith);
• druga kolumna (pts/1, tty2, itd.) wskazuje terminal, przez który użytkownik się logował;
• trzecia kolumna pokazuje adres IP lub nazwę hosta, z którego użytkownik się logował (np. 192.168.1.5), jeśli użytkownik zalogował się lokalnie, to ta kolumna może być pusta;
• czwarta kolumna pokazuje czas rozpoczęcia sesji;
• ostatnia kolumna pokazuje, jak długo trwała sesja, jeśli użytkownik jest nadal zalogowany, wyświetlany jest komunikat still logged in.

Polecenie lastlog

To polecenie wyświetla informacje o ostatnim logowaniu każdego użytkownika. Wykorzystuje do tego plik /var/log/lastlog. Dzięki temu poleceniu możesz szybko sprawdzić, kiedy każdy z użytkowników ostatnio logował się do systemu.

Przykładowe użycie

lastlog

Polecenie wyświetli datę ostatniego logowania każdego użytkownika, wraz z informacjami o terminalu i adresie IP, z którego nastąpiło logowanie.

Przykładowe wyjście polecenia lastlog

Wyjście polecenia `lastlog” może wyglądać tak:

Username         Port     From             Latest
root             tty1                    Fri Feb 23 12:50:43 +0000 2024
jdoe             pts/1    192.168.1.5     Sat Feb 24 22:10:00 +0000 2024
asmith           pts/0    192.168.1.8     Sat Feb 24 21:53:09 +0000 2024

W tym przykładzie:

• pierwsza kolumna wskazuje nazwę użytkownika;
• druga kolumna pokazuje terminal, przez który użytkownik się ostatnio logował;
• trzecia kolumna wskazuje adres IP lub nazwę hosta, z którego użytkownik się ostatnio logował;
• ostatnia kolumna pokazuje datę i czas ostatniego logowania użytkownika.

Polecenie lastb

Polecenie lastb w systemach Linux jest podobne do polecenia last, ale zamiast pokazywać pomyślne logowania, wyświetla próby logowań, które zakończyły się niepowodzeniem. lastb korzysta z pliku /var/log/btmp, w którym rejestrowane są nieudane próby logowania. Polecenie lastb jest szczególnie użyteczne dla administratorów systemów do monitorowania potencjalnych nieautoryzowanych prób dostępu do systemu. Jest to ważne narzędzie w kontekście bezpieczeństwa i audytu systemów informatycznych.

Przykładowe wyjście polecenia lastb

Wyjście polecenia `lastb” może wyglądać tak:

jdoe     ssh:notty    192.168.1.9      Sat Feb 24 23:15:42 +0000 2024
asmith   ssh:notty    10.0.0.5         Sat Feb 24 23:10:11 +0000 2024
unknown  ssh:notty    182.13.44.22     Sat Feb 24 22:55:03 +0000 2024

W tym przykładzie:

• nastąpiły próby logowania na konta jdoe, asmith, a także nieznany użytkownik (unknown).
• w tym przypadku, wszystkie próby logowania odbywały się przez SSH (ssh:notty).
• adresy IP, z których pochodziły próby logowania, to 192.168.1.9, 10.0.0.5, i 182.13.44.22.
• mozna odczytać dokładny czas, kiedy miały miejsce dane próby logowania.

Polecenia last, lastb i lastlog w skrócie

Polecenia last, lastb, i lastlog są narzędziami dostępnymi w systemach operacyjnych Linux/Unix, używanymi do monitorowania logowań użytkowników, ale każde z nich służy do nieco innego celu. Są one ważnymi narzędziami dla administratorów systemów do monitorowania i utrzymania bezpieczeństwa systemu.

Polecenie last

• Zastosowanie: Wyświetla historię pomyślnych logowań użytkowników w systemie.
• Źródło danych: Polecenie to korzysta z pliku /var/log/wtmp, który zawiera informacje o każdej sesji użytkownika.
• Wyświetlane informacje: Zawiera nazwę użytkownika, terminal, z którego się logował, adres IP lub host, czas rozpoczęcia i zakończenia sesji.
• Przydatność: Jest używane do sprawdzenia, kto i kiedy logował się do systemu, co jest przydatne do celów audytu i monitorowania bezpieczeństwa.

Polecenie lastb

• Zastosowanie: Wyświetla historię nieudanych prób logowania.
• Źródło danych: Polecenie to korzysta z pliku /var/log/btmp, który rejestruje nieudane próby logowania.
• Wyświetlane informacje: Podobnie jak last, wyświetla nazwę użytkownika (lub "unknown" dla nieznanych prób), terminal, z którego próbowano się zalogować, adres IP i czas próby.
• Przydatność: Jest używane głównie do identyfikacji potencjalnych prób nieautoryzowanego dostępu lub ataków brute-force.

Polecenie lastlog

• Zastosowanie: Wyświetla informacje o ostatnim logowaniu każdego użytkownika.
• Źródło danych: Polecenie to korzysta z pliku /var/log/lastlog.
• Wyświetlane informacje: Pokazuje nazwę użytkownika, port (terminal), z którego się ostatnio logowano, adres IP oraz datę i czas ostatniego logowania.
• Przydatność: Jest przydatne do szybkiego sprawdzenia, kiedy i skąd użytkownicy ostatnio logowali się do systemu, co może być pomocne przy diagnozowaniu problemów z logowaniem lub audycie bezpieczeństwa.