Como usar o último comando no Linux
Quem, quando e de onde? Boas práticas de segurança dizem que você deve saber quem acessou seu computador Linux. Mostramos como.
O arquivo wtmp
Linux e outros Unix Os sistemas operacionais semelhantes ao MacOS são muito bons para registrar. Em algum lugar nas entranhas do sistema, há um registro de praticamente tudo que você pode imaginar. O arquivo de registro no qual estamos interessados é chamado de wtmp. O “w” pode significar “quando” ou “quem” - ninguém parece concordar. A parte “tmp” provavelmente significa “temporário”, mas também pode significar “timestamp”.
O que sabemos é que o wtmp é um log que captura e registra cada evento de login e logout. Revisar os dados no log do wtmp é uma etapa básica ao adotar uma abordagem voltada para a segurança em relação aos deveres do administrador do sistema. Para um computador familiar típico, pode não ser tão importante do ponto de vista da segurança, mas é interessante poder analisar o uso combinado do computador.
Ao contrário de muitos dos arquivos de log baseados em texto do Linux, wtmp é um arquivo binário. Para acessar os dados dentro dele, precisamos usar uma ferramenta projetada para essa tarefa.
Essa ferramenta é o último comando.
O último comando
o último comando lê os dados do registro wtmp e os exibe em uma janela de terminal.
Se digitar por último e pressionar Enter, todos os registros serão exibidos no arquivo de registro.
PRE] last
Cada registro de wtmp é exibido na janela do terminal.
Da esquerda para a direita, cada linha contém: [ ul]
A última linha informa a data e a hora da primeira sessão gravada no log.
Uma entrada de login para o usuário fictício 'reboot' é inserida no registro toda vez que o computador é inicializado. O campo do terminal é substituído pela versão do kernel. A duração da sessão conectada para essas entradas representa o tempo de atividade do computador.
Mostrando um número específico de linhas
Usar o último comando por si só produz um dump de o log inteiro com a maior parte passando pela janela do terminal. A parte que permanece visível é os primeiros dados no log. Provavelmente não é isso que você queria ver.
Você pode dizer por último para fornecer um número específico de linhas de saída. Faça isso fornecendo o número de linhas que você deseja na linha de comando. Observe o hífen. Para ver cinco linhas, você precisa digitar -5 e não 5:
última -5
Isso fornece as cinco primeiras linhas de o registro, que são os dados mais recentes.
Mostrando Nomes de Rede para Usuários Remotos
A opção -d (Domain Name System) diz ao último para tente resolver os endereços IP dos usuários remotos em uma máquina ou nome de rede.
last -d
IMAGEM_5
Nem sempre é possível último para converter o endereço IP em um nome de rede, mas o comando fará isso quando puder.
Ocultar endereços IP e nomes de rede
Se você não estiver interessado no endereço IP ou no nome da rede, use a opção -R (no hostname) para suprimir este campo.
Porque isso fornece uma saída mais limpa sem wraparounds feios, esta opção foi usada em todos os exemplos a seguir. Se você estava usando o último para tentar identificar atividades incomuns ou suspeitas, você não deveria suprimir este campo.
Selecionando Registros por Data
Você pode usar a opção -s (since) para restringir a saída para mostrar apenas os eventos de login que ocorreram desde uma data específica.
Se você quisesse ver apenas os eventos de login que ocorreram a partir de 26 de maio de 2019, use o seguinte comando:
ult -R -s 2019-05-26
A saída mostra registros com eventos de login que ocorreram a partir do horário 00:00 no dia especificado, até os registros mais recentes no arquivo de log.
Pesquisando até uma data final
Você pode use o -t (até) para especificar uma data final. Isso permite que você selecione um conjunto de registros de login que ocorreram entre duas datas de interesse.
Este comando pede por último para recuperar e exibir os registros de login de 00:00 ( amanhecer) no dia 26 até a hora 00:00 (amanhecer) no dia 27. Isso restringe a listagem a sessões de login que ocorreram somente no dia 26.
Formatos de data e hora
Você pode usar horas e datas com as opções -s e -t.
Os diferentes formatos de hora que pode ser usado com as últimas opções que usam datas e horas são (supostamente):
- AAAAMMDDhhmmss
- AAAA-MM-DD hh: mm: ss
- AAAA-MM-DD hh: mm - os segundos estão definidos como 00
- AAAA-MM-DD - a hora está definida para 00:00:00
- hh: mm: ss - a data está definida para hoje
- hh: mm - a data será definida para hoje, segundos para 00
- agora
- ontem - a hora está definida como 00 : 00: 00
- hoje - a hora está definida para 00:00:00
- amanhã - a hora está definida para 00:00:00
- + 5min
- -5days
Por que 'alegadamente'?
O segundo e terceiro formatos da lista não funcionaram durante a pesquisa para este artigo. Esses comandos foram testados nas distribuições Ubuntu, Fedora e Manjaro. Estas são derivadas das distribuições Debian, RedHat e Arch, respectivamente. Isso abrange todas as principais famílias da distribuição Linux.
last -R -s 2019-05-26 11:00 -t 2019-05-27 13:00
Como você pode ver, o comando não retornou nenhum registro.
Usando o primeiro formato de data e hora da lista com a mesma data e hora que o comando anterior registros de retorno:
último -R -s 20190526110000 -t 20190527130000
IMAGEM_14
Pesquisando por unidades relacionadas
Você também especifique períodos de tempo que são medidos em minutos ou dias, relativos à data e hora atuais. Aqui estamos pedindo registros de dois dias atrás até um dia atrás.
últimos -R -s -2days -t -1days
Ontem, hoje e agora
Você pode usar ontem e amanhã como abreviação para a data de ontem e a data de hoje.
último -R -s ontem -t hoje
Não que isso não incluirá registros para hoje. Esse é o comportamento esperado. O comando solicita registros da data de início até a data final. Não inclui registros de dentro da data final.
A opção now é uma abreviação de "today at the atual time". Para ver os eventos de login que ocorreram desde 00:00 (amanhecer) até o momento em que você emitir o comando use este comando:
último -R -s hoje -t now
Isso mostrará todos os eventos de login até o momento, incluindo aqueles que ainda estão conectados.
A presente opção
p (presente) opção permite que você descubra quem estava logado em um ponto no tempo.
Não importa quando eles entraram ou saíram, mas se eles estavam logados no computador no momento se você especificar, eles serão incluídos na listagem.
Se você especificar um horário sem data, supõe-se que você queira dizer "hoje".
last -R -p 09 : 30
As pessoas que ainda estão logadas (obviamente) não têm um tempo de logout; eles são descritos como ainda logados. Se o computador não tiver sido reinicializado desde o momento em que você especificar, ele será listado como ainda em execução.
Se você usar a abreviação agora com a opção -p (presente), pode descobrir quem está logado no momento em que você emitir o comando.
[PRÉ] última -R -p agora
Isso é um pouco longo Caminho para alcançar o que pode ser realizado usando o comando who.
RELACIONADO: Como determinar a conta de usuário atual no Linux
O comando lastb
O comando lastb merece menção. Ele lê dados de um log chamado btmp. Há um pouco mais de consenso sobre esse nome de log. O "b" significa ruim, mas a parte "tmp" ainda está sujeita a debate.
lastb lista as tentativas de login incorretas (com falha). Aceita as mesmas opções do último. Como foram tentativas de login com falha, todas as entradas terão uma duração de 00:00.
Você deve usar o sudo com lastb.
sudo lastb -R
A última palavra na questão
Sabendo quem fez login no seu computador Linux, e quando, e de onde são informações úteis. Combinar isso com os detalhes das tentativas de login malsucedidas oferece a você os primeiros passos para investigar o comportamento suspeito.
LEIA PRÓXIMO & rsaquo; Como obter o plano de fundo da área de trabalho padrão antigo do Windows 10 Voltar & rsaquo; A melhor maneira de organizar seus e-mails: apenas arquive-os & rsaquo; O que fazer quando vender seu Smarthome & rsaquo; Como levar o seu Smarthome Travelling & rsaquo; Como ativar o novo tema de luz do Windows 10
Via: How to Geek
Nenhum comentário