
wtorek,
Plik auth.log
Plik auth.log
w systemach Linux służy do rejestrowania informacji dotyczących mechanizmów uwierzytelniania użytkowników. Zawiera on informacje dotyczące uwierzytelniania użytkowników, takie jak logowania do systemu, wylogowania, oraz inne zdarzenia związane z bezpieczeństwem systemu. Zazwyczaj znajduje się w katalogu /var/log/. Jest to standardowa lokalizacja dla wielu logów systemowych w dystrybucjach Linux opartych na Debianie, takich jak Ubuntu. W niektórych innych dystrybucjach, na przykład tych opartych na Red Hat (jak Fedora czy CentOS), odpowiednikiem auth.log może być plik /var/log/secure.
Plik auth.log
jest bardzo ważnym elementem monitorowania bezpieczeństwa systemu i często jest analizowany w przypadku dochodzeń dotyczących bezpieczeństwa. Dostęp do niego jest ograniczony do użytkownika root lub innych użytkowników z odpowiednimi uprawnieniami.
Zawartość pliku auth.log
- Informacje o próbach logowania do systemu (zarówno udanych, jak i nieudanych).
- Rejestr działań użytkowników wymagających podniesienia uprawnień (np. użycie
sudo
). - Zapisy o aktywnościach związanych z serwisami sieciowymi, takimi jak SSH.
- Dane na temat alertów bezpieczeństwa i innych ważnych zdarzeniach związanych z uwierzytelnianiem.
Przykładowy fragment auth.log
Feb 24 10:02:01 myserver CRON[12345]: pam_unix(cron:session): session opened for user root by (uid=0)
Feb 24 10:02:01 myserver CRON[12345]: pam_unix(cron:session): session closed for user root
Feb 24 10:17:01 myserver CRON[12346]: pam_unix(cron:session): session opened for user root by (uid=0)
Feb 24 10:17:01 myserver sshd[12347]: Failed password for invalid user admin from 192.168.1.10 port 22 ssh2
Feb 24 10:17:01 myserver sshd[12348]: Received disconnect from 192.168.1.10 port 22:11: Bye Bye [preauth]
W powyższym fragmencie widać, że:
- Zostały zarejestrowane sesje
cron
dla użytkownikaroot
. - nastąpiła próba nieudanego logowania na konto
admin
z adresu IP192.168.1.10
.
Praca z plikiem auth.log
Wyświetlanie zawartości
Aby wyświetlić zawartość auth.log
, można skorzystać między innymi z polecenia cat
, less
lub more
. Na przykład:
cat /var/log/auth.log
lub
less /var/log/auth.log
Przeszukiwanie pliku
Aby przeszukać plik auth.log
pod kątem konkretnych informacji, można użyć polecenia grep
. Na przykład, aby znaleźć wszystkie zapisy dotyczące użytkownika jan
, można użyć polecenia:
grep 'jan' /var/log/auth.log
W przypadku bardziej szczegółowego przeszukiwania można użyć wyrażeń regularnych:
sudo grep -E 'student-|ciziu-' /var/log/auth.log
To polecenie zwróci linie z pliku auth.log
, które zawierają nazwy użytkowników zaczynające się od "student-" lub "ciziu-". W tym przypadku:
grep
to narzędzie do wyszukiwania tekstu.-E
to opcja pozwalająca na użycie rozszerzonych wyrażeń regularnych (Extended Regular Expressions).'student-|ciziu-'
jest wyrażeniem regularnym, gdzie|
działa jak operator alternatywy, szukając wpisów zawierających "student-" lub "ciziu-"./var/log/auth.log
to ścieżka do pliku, który jest przeszukiwany.