как посмотреть кто заходил на сервер linux
Linux и Windows: помощь админам и пользователям
Администрируем и настраиваем Windows, Linux.
4 способа определить кто залогинен в Linux
Если вы системный администратор, вы в любой момент времени можете захотеть узнать кто залогинен на вашем Linux сервере. Несомневаюсь что вам известен способ, который позволяет вам узнать это, но знаете ли вы все их и используете самый удобный? В этой статье мы рассмотрим 4 возможных способа.
1. Получаем список пользователей и команды, используемые ими с помощью команды w
Команда w используется для получения списка залогиненных пользователей и выполняемых ими команд. Вывод команды w содержит следующие колонки:[cut]
Дополнительно могут быть использованы следующие опции:
2. Получаем список пользователей с помощью команды who
Команда who используется для получения списка пользователей, залогиненных в системе. В выводе находятся следующие колонки: имя пользователя, номер tty, дата и время, адрес подключения.
Для получения отсортированного списка используем команду:
3. Узнаем под каким пользователем залогинены вы сами
Команда whoami сообщит вам информацию о том, под какой учетной записью вы залогинены в системе. Полезно использовать с похмелья
4. Смотрим историю подключений пользователя
Команда last покажет вам историю подключений для определенного пользователя. Если в качестве аргумента не указан логин какого либо пользователя, отобразится история для всех пользователей. Данная информация берется из файла /var/log/wtmp. В выводе присутствуют следующие колонки:
Постовой
Не хватает фантазии сочинить собственный текст, или просто нет времени? Вам определенно требуется копирайтер, который сделает для вас качественный уникальный материал.
Качественные объективы для фотоаппаратов. Практические все виды объективов по низким ценам.
Как проверить историю входа в Linux
Даже если у вас нет нескольких пользователей, кто-то, вероятно, пытался получить доступ к вашему серверу Linux. Поверьте нам, это может звучать странно, но в наши дни боты пытаются получить доступ к вашим серверам Linux. Не верите нам? Просто проверьте неудачные попытки входа на ваш сервер, чтобы увидеть, пытался ли кто-нибудь войти в вашу систему.
Позвольте нам показать вам, как просмотреть историю входа в Linux, чтобы вы знали, кто и откуда обращается к вашей системе.
Просмотр истории входа в Linux
Linux очень хорошо ведет журналы всего, что происходит в вашей системе. Вполне естественно, что он также хранит журналы о входе и попытках входа. Информация для входа хранится в трех местах:
Давайте посмотрим на эти вещи немного подробнее.
1. Просмотр истории всех зарегистрированных пользователей
Чтобы просмотреть историю всех успешных входов в систему, просто используйте команду last.
Вывод должен выглядеть следующим образом. Как видите, в нем перечислены пользователи, IP-адрес, с которого пользователь получил доступ к системе, дата и время входа в систему. pts/0 означает доступ к серверу через SSH.
Последняя строка вывода сообщает вам, когда был создан файл журнала wtmp. Это важно, потому что если файл wtmp был удален недавно, последняя команда не сможет отобразить историю входов в систему до этой даты.
У вас может быть огромная история сеансов входа в систему, поэтому лучше передать вывод с помощью команды less.
2. Просмотр истории входа определенного пользователя
Если вы просто хотите просмотреть историю входа определенного пользователя, вы можете указать имя пользователя с помощью последней команды.
Вы увидите информацию для входа только выбранного пользователя:
3. Отображать IP-адреса в истории входа вместо имени хоста
Вы не могли видеть это в предыдущем выводе, но по умолчанию последняя команда показывает имя хоста вместо IP-адреса пользователя. Если вы находитесь в подсети, вы, вероятно, увидите только имена хостов.
4. Отображать только последние N логинов
Если у вашей системы хорошее время работы, возможно, ваша история входа будет огромной. Как мы упоминали ранее, вы можете использовать команду less или другие команды просмотра файлов, такие как head или tail.
Последняя команда дает вам возможность отображать только определенное количество истории входа.
Просто замените N на номер, который вы хотите. Вы также можете комбинировать его с именем пользователя.
5. Просмотр всех неудачных попыток входа на ваш сервер Linux
Теперь важная часть: проверка неудачных попыток входа на ваш сервер.
Вы можете сделать это двумя способами. Вы можете использовать последнюю команду с файлом журнала btmp:
или вы можете использовать команду lastb:
Обе эти команды дадут одинаковый результат. Lastb на самом деле является ссылкой на последнюю команду с указанным файлом.
Плохие логины могут быть неверным паролем, введенным законным пользователем. Это также может быть бот, пытающийся взломать ваш пароль.
Вы должны проанализировать здесь и посмотреть, узнаете ли вы IP-адреса в журнале. Если было слишком много попыток входа в систему с определенного IP-адреса с пользователем root, возможно, кто-то пытается атаковать вашу систему с помощью брутфорса.
Вы должны развернуть Fail2Ban для защиты вашего сервера в таких случаях. Fail2Ban забанит такие IP-адреса с вашего сервера и тем самым предоставит вашему серверу дополнительный уровень защиты.
Заключение
Мы надеемся, что эта статья научит вас просматривать историю входа в Linux, и теперь вы можете использовать эти знания для лучшего управления и защиты вашей системы Linux.
Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.
как узнать ip входившего по ssh?
есть сервер с дебиан 7 и надо узнать, заходил на него кто-то или нет, так как есть подозрение об утечке рут доступа
где в системе он мог засветиться? где-то сохраняются ип адреса входивших по ssh?
Если у злоумышленника уже есть рут, то это не поможет. Единственный вариант это ставить систему с нуля
обычно логи пишутся в /var/log/auth.log
Я думаю если его скомпрометировали, то найти будет сложновато, обычно следы за собой подчищают, хотя попробовать можно. На будущее могу посоветовать отправку сообщений на почту по логину.
добавлю пять копеек про смс по логину, очень удобно.
Если у злоумышленника уже есть рут, то это не поможет. Единственный вариант это ставить систему с нуля
проверка контрольных сумм покажет изменения в кротабе и исполняемые файлы в /tmp?
etc как и все конфиги по уму нужно в mercurial/git и т.д хранить.
/tmp, /var/tmp и т.д. вычищать, на остальные не связанные с бинарниками каталоги делать noexec.
Мне проще переставить систему, чем считать контрольные суммы и т.д. Конфиги готовые, надо просто поставить пакеты из заранее известного списка
Мне проще переставить систему, чем считать контрольные суммы и т.д. Конфиги готовые, надо просто поставить пакеты из заранее известного списка
ну да. случаи бывают разные, твой вариант тоже имеет право на жизнь.
Файл /var/log/wtmp хранит информацию по сеансам, если его не поправил злоумышленник.
Прочитать его можно например таким скриптом:
Актуально запретить вход по ssh от имени root, а команды запускать используя sudo.
🧏♂️ Как узнать, кто заходил на ваш сервер Linux
С помощью простой команды вы можете узнать, какие пользователи вошли на серверы Linux вашего центра обработки данных, и предотвратить их причинение вреда системе.
Пользователи заходят и выходят из вашего центра обработки данных на серверах Linux весь день.
Как администратор этих систем, вы обязаны знать все, что происходит с этими серверами, и что нужно делать, чтобы обеспечить их надежность и безопасность.
Но как узнать, кто вошел в систему на этих серверах Linux и что они делают?
Это может показаться сложной задачей, но поскольку вы используете Linux, эта задача не только проста, но и встроена прямо в серверы.
С помощью одной команды вы можете узнать, что происходит у вас под носом.
Это так просто, что каждый администратор Linux должен быть в состоянии сделать это.
Давайте посмотрим, как использовать команду w.
Использование
Войдите на сервер вашего центра обработки данных Linux и введите команду:
Вывод команды покажет, кто в данный момент вошел в систему и какую команду они используют:
Как видите, пользователь olivia зарегистрирован на сервере центра обработки данных, но имеет защищенную оболочку на компьютере по адресу 192.168.1.1.
Разрешено ли ей это делать?
Если нет, вы всегда можете прекратить сеанс SSH, сначала узнав его PID с помощью команды:
Выходные данные вышеупомянутой команды будут перечислять все PID всех процессов, связанных с пользователем olivia.
Как вы можете видеть искомый нам ssh PID – 27306.
Выполните следующую команду, чтобы завершить сеанс ssh:
Убейте этот PID с помощью команды:
Приведенная выше команда будет эффективно убивать сеанс Оливии.
Учитывая, что вы также видели IP-адрес, с которого она вошла, вы можете действовать соответствующим образом, чтобы заблокировать этот адрес от доступа к серверу (при необходимости).
Используйте с умом
Если бы пользователь olivia делал что-то гнусное, надеюсь, вы ее остановили.
Конечно, если бы она была пользователем, которому разрешено находиться на этом сервере, вы, вероятно, не убили бы ее сеанс.
Тем не менее, это простой способ следить за тем, кто вошел в систему на этих серверах Linux и что они делают.
Используйте команду w с умом, и это может помочь вам предотвратить мошеннические действия пользователей, которые они не должны делать на серверах вашего центра обработки данных.
Просмотр истории входа в Linux. Кто и когда входил в систему
В данной заметке мы рассмотрим, как узнать, какие пользователи и когда именно входили в систему Linux.
Данная информация обычно нужна системным администраторам для просмотра истории входа в систему на многопользовательском сервере.
Помимо этого, бывает полезно узнать о неудачных попытках входа. Это могут быть боты, но могут быть и попытки взлома вашего сервера.
Где хранятся логи входа в систему
Информация о том, кто входил (залогинивался) или пытался войти в систему, хранится в лог файлах. Для этого используется три лог-файла:
/var/log/btmp — неудачные попытки входа.
/var/run/utmp — кто в данный момент залогинен (текущие сессии).
/var/log/wtmp — список всех сессий входа в систему.
Просмотр истории входа в систему
Выполним команду last :
Как вы можете видеть, выводится таблица с информацией. В ней содержатся имена пользователей, IP-адрес, с которого осуществлялся вход, дата и время входа и продолжительность сессии. Запись вида pts/0 означает, что для входа использовалось SSH соединение (или другое удаленное соединение, например, telnet).
Также выводится информация о включении/выключении системы.
Последняя строка в файле /var/log/wtmp показывает, когда был создан файл.
Просмотр истории входа для определенного пользователя
Чтобы показать информацию о сессиях определенного пользователя, то для команды last необходимо указать имя этого пользователя:
Ограничить количество строк
Выведем только десять свежих записей:
Просмотр неудачных попыток входа в систему
Выведем записи о неудачных попытках входа (из файла /var/log/btmp ):
Заключение
Мы рассмотрели использование команды last для просмотра информации об истории входа в систему.
Дополнительную информацию по использованию команды last можно получить, выполнив в терминале: