Linux узнать кто заходил

Linux и Windows: помощь админам и пользователям

Администрируем и настраиваем Windows, Linux.

4 способа определить кто залогинен в Linux

Если вы системный администратор, вы в любой момент времени можете захотеть узнать кто залогинен на вашем Linux сервере. Несомневаюсь что вам известен способ, который позволяет вам узнать это, но знаете ли вы все их и используете самый удобный? В этой статье мы рассмотрим 4 возможных способа.

1. Получаем список пользователей и команды, используемые ими с помощью команды w

Команда w используется для получения списка залогиненных пользователей и выполняемых ими команд. Вывод команды w содержит следующие колонки:[cut]

• Имя пользователя
• Номер tty
• Адрес, с которого произошло подключение
• Время подключения
• Время бездействия
• Время, затраченное всеми процессами в данном сеансе (JCPU)
• Время, потраченное текущим процессом (PCPU)
• Команда, выполняемая пользователем

Дополнительно могут быть использованы следующие опции:

• -h игнорировать информацию заголовка
• -u отображать текущую загрузку
• -s Удалить из вывода JCPU, PCPU, и время подключения

2. Получаем список пользователей с помощью команды who

Команда who используется для получения списка пользователей, залогиненных в системе. В выводе находятся следующие колонки: имя пользователя, номер tty, дата и время, адрес подключения.

Для получения отсортированного списка используем команду:

3. Узнаем под каким пользователем залогинены вы сами

Команда whoami сообщит вам информацию о том, под какой учетной записью вы залогинены в системе. Полезно использовать с похмелья

whoami дает такую же информацию, как и команда id -un

4. Смотрим историю подключений пользователя

Команда last покажет вам историю подключений для определенного пользователя. Если в качестве аргумента не указан логин какого либо пользователя, отобразится история для всех пользователей. Данная информация берется из файла /var/log/wtmp. В выводе присутствуют следующие колонки:

• Имя пользователя
• Номер Tty
• Время и дата подключения
• Время отключения
• Общее время работы сеанса

Постовой

Не хватает фантазии сочинить собственный текст, или просто нет времени? Вам определенно требуется копирайтер, который сделает для вас качественный уникальный материал.

Качественные объективы для фотоаппаратов. Практические все виды объективов по низким ценам.

Источник

Отслеживание журналов входа в систему в Ubuntu

Вступление

Конфигурирование и управление пользователями и группами – основная часть системного администрирования. Эта задача включает в себя мониторинг возможностей входа всех элементов системы.

В данном руководстве представлены основные понятия об управлении пользователями и ведении журнала аутентификации. Данные принципы работы изучаются на примере выделенного сервера Ubuntu 12.04, но любой современный дистрибутив Linux работает таким же образом.

В третьей части говорится о том, как отслеживать журнал регистрации доступа, чтобы убедиться в том, что система доступна только для авторизованных пользователей.

Отслеживание входа в систему

Основным компонентом управления аутентификацией является мониторинг системы после настройки пользователей.

К счастью, современные системы Linux регистрируют все попытки аутентификации в дискретном файле. Он расположен в «/var/log/auth.log».

sudo less /var/log/auth.log
May 3 18:20:45 localhost sshd[585]: Server listening on 0.0.0.0 port 22.
May 3 18:20:45 localhost sshd[585]: Server listening on :: port 22.
May 3 18:23:56 localhost login[673]: pam_unix(login:session): session opened fo
r user root by LOGIN(uid=0)
May 3 18:23:56 localhost login[714]: ROOT LOGIN on ‘/dev/tty1’
Sep 5 13:49:07 localhost sshd[358]: Received signal 15; terminating.
Sep 5 13:49:07 localhost sshd[565]: Server listening on 0.0.0.0 port 22.
Sep 5 13:49:07 localhost sshd[565]: Server listening on :: port 22.
. . .

Использование команды «last»

Как правило, нужно отследить только самые последние попытки входа. Это можно сделать при помощи инструмента «last»:

last
demoer pts/1 rrcs-72-43-115-1 Thu Sep 5 19:37 still logged in
root pts/1 rrcs-72-43-115-1 Thu Sep 5 19:37 — 19:37 (00:00)
root pts/0 rrcs-72-43-115-1 Thu Sep 5 19:15 still logged in
root pts/0 rrcs-72-43-115-1 Thu Sep 5 18:35 — 18:44 (00:08)
root pts/0 rrcs-72-43-115-1 Thu Sep 5 18:20 — 18:20 (00:00)
demoer pts/0 rrcs-72-43-115-1 Thu Sep 5 18:19 — 18:19 (00:00)

Это действие выводит отформатированную версию файла «/etc/log/wtmp».

Как можно видеть, в первой и третьей строках показано, что пользователь все еще находится в системе.

В противном случае, общее время сеанса пользователя задается набором значений, разделенных дефисом.

Использование команды «lastlog»

Чтобы получить подобную информацию в другом виде, можно просмотреть последний раз входа в систему каждого пользователя.

Это можно сделать, войдя в файл «/etc/log/lastlog». Данная информация сортируется в соответствии с записями в файле «/etc/passwd»:

lastlog
Username Port From Latest
root pts/1 rrcs-72-43-115-1 Thu Sep 5 19:37:02 +0000 2013
daemon **Never logged in**
bin **Never logged in**
sys **Never logged in**
sync **Never logged in**
games **Never logged in**
. . .

Здесь можно увидеть время последнего входа в систему каждого пользователя.

Обратите внимание, на данный момент многие пользователи системы никогда не входили, о чем говорит значение **Never logged in**.

Итоги

Авторизация пользователей в Linux является относительно гибкой областью управления системой, так как одну и ту же задачу можно выполнить разными способами при помощи простых инструментов.

Важно запомнить, где система хранит информацию о входе, чтобы отслеживать внесенные на сервер изменения

Источник

IT technologies in our life

Бесполезно рассказывать о высоком моральном облике коллектива человеку, имеющему доступ к логам прокси-сервера этого коллектива.

Свежачёёёк

Рубрики

Ссылки

Календарег

Октябрь 2021

Пн	Вт	Ср	Чт	Пт	Сб	Вс
« Дек
1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30	31

Last или кто заходил на сервер

Last — стандартная команда Linux позволяющя увидеть логины, ребуты и т.п
Linux хранит информацию о сессиях в трех файлах

Утилита last просматривает файлы /var/log/wtmp и показывает нам кто входил на сервер с момента создания этого файла.

# last
root pts/0 10.0.0.5 Wed Mar 30 16:47 still logged in
reboot system boot 2.6.32-21-generi Fri Jan 31 05:05 — 18:08 (2980+12:02)
root pts/0 10.0.0.5 Mon Mar 28 17:12 — 17:45 (00:32)
root pts/0 10.0.0.116 Mon Mar 21 16:01 — 16:02 (00:01)
root pts/0 10.0.0.100 Fri Mar 18 10:54 — 12:14 (01:19)
root pts/0 10.0.0.5 Tue Mar 15 14:36 — 15:50 (01:14)
root pts/0 10.0.0.5 Mon Mar 14 12:17 — 14:05 (01:47)
root pts/2 10.0.0.5 Fri Mar 11 15:12 — 17:18 (02:05)
root pts/0 10.0.0.5 Fri Mar 11 13:09 — 15:12 (02:03)
root pts/0 10.0.0.5 Fri Mar 11 12:53 — 13:08 (00:14)
root pts/0 10.0.0.5 Thu Mar 10 18:15 — 21:25 (03:09)
root pts/0 10.0.0.5 Thu Mar 10 14:07 — 14:09 (00:01)
root pts/0 10.0.0.5 Wed Mar 9 12:30 — 16:16 (03:46)
root pts/0 10.0.0.5 Mon Mar 7 11:57 — 11:59 (00:01)
root pts/0 10.0.0.5 Mon Mar 7 11:42 — 11:50 (00:08)
root pts/0 10.0.0.5 Fri Mar 4 18:32 — 21:43 (03:11)
root pts/0 10.0.0.5 Wed Mar 2 21:35 — 22:17 (00:42)
root pts/0 10.0.0.5 Wed Mar 2 19:30 — 19:38 (00:08)
root pts/0 10.0.0.5 Tue Mar 1 13:25 — 16:15 (02:50)
root tty1 Tue Mar 1 11:01 — 11:02 (00:00)
root tty1 Tue Mar 1 11:01 — 11:01 (00:00)
reboot system boot 2.6.32-21-generi Thu Jan 2 03:19 — 18:08 (3009+13:49)

wtmp begins Thu Jan 2 03:19:01 2003
root@gate:

last -x дотолнительно выводит изменения rynlevel

# last -x
root pts/0 10.0.0.5 Wed Mar 30 16:47 still logged in
runlevel (to lvl 2) 2.6.32-21-generi Fri Jan 31 05:05 — 18:09 (2980+12:03)
reboot system boot 2.6.32-21-generi Fri Jan 31 05:05 — 18:09 (2980+12:03)
root pts/0 10.0.0.5 Mon Mar 28 17:12 — 17:45 (00:32)
root pts/0 10.0.0.116 Mon Mar 21 16:01 — 16:02 (00:01)
root pts/0 10.0.0.100 Fri Mar 18 10:54 — 12:14 (01:19)
root pts/0 10.0.0.5 Tue Mar 15 14:36 — 15:50 (01:14)
root pts/0 10.0.0.5 Mon Mar 14 12:17 — 14:05 (01:47)
root pts/2 10.0.0.5 Fri Mar 11 15:12 — 17:18 (02:05)
root pts/0 10.0.0.5 Fri Mar 11 13:09 — 15:12 (02:03)
root pts/0 10.0.0.5 Fri Mar 11 12:53 — 13:08 (00:14)
root pts/0 10.0.0.5 Thu Mar 10 18:15 — 21:25 (03:09)
root pts/0 10.0.0.5 Thu Mar 10 14:07 — 14:09 (00:01)
root pts/0 10.0.0.5 Wed Mar 9 12:30 — 16:16 (03:46)
root pts/0 10.0.0.5 Mon Mar 7 11:57 — 11:59 (00:01)
root pts/0 10.0.0.5 Mon Mar 7 11:42 — 11:50 (00:08)
root pts/0 10.0.0.5 Fri Mar 4 18:32 — 21:43 (03:11)
root pts/0 10.0.0.5 Wed Mar 2 21:35 — 22:17 (00:42)
root pts/0 10.0.0.5 Wed Mar 2 19:30 — 19:38 (00:08)
root pts/0 10.0.0.5 Tue Mar 1 13:25 — 16:15 (02:50)
root tty1 Tue Mar 1 11:01 — 11:02 (00:00)
root tty1 Tue Mar 1 11:01 — 11:01 (00:00)
runlevel (to lvl 2) 2.6.32-21-generi Thu Jan 2 03:19 — 05:05 (29+01:46)
reboot system boot 2.6.32-21-generi Thu Jan 2 03:19 — 18:09 (3009+13:50)

wtmp begins Thu Jan 2 03:19:01 2003
root@gate:

Источник

Просмотр истории входа в Linux. Кто и когда входил в систему

В данной заметке мы рассмотрим, как узнать, какие пользователи и когда именно входили в систему Linux.

Данная информация обычно нужна системным администраторам для просмотра истории входа в систему на многопользовательском сервере.

Помимо этого, бывает полезно узнать о неудачных попытках входа. Это могут быть боты, но могут быть и попытки взлома вашего сервера.

Где хранятся логи входа в систему

Информация о том, кто входил (залогинивался) или пытался войти в систему, хранится в лог файлах. Для этого используется три лог-файла:
/var/log/btmp — неудачные попытки входа.
/var/run/utmp — кто в данный момент залогинен (текущие сессии).
/var/log/wtmp — список всех сессий входа в систему.

Эти файлы, в отличии от большинства других лог-файлов Linux, имеют бинарный формат. Если вы попробуете просмотреть их командой cat , то на экран будет выведена «каша». Для их просмотра используется команда last .

Просмотр истории входа в систему

Для просмотра логов входа в систему используется команда last . По умолчанию команда last выводит информацию из файла /var/log/wtmp , в котором хранятся записи обо всех сессиях входа.

Выполним команду last :

Как вы можете видеть, выводится таблица с информацией. В ней содержатся имена пользователей, IP-адрес, с которого осуществлялся вход, дата и время входа и продолжительность сессии. Запись вида pts/0 означает, что для входа использовалось SSH соединение (или другое удаленное соединение, например, telnet).

Также выводится информация о включении/выключении системы.

Последняя строка в файле /var/log/wtmp показывает, когда был создан файл.

Просмотр истории входа для определенного пользователя

Чтобы показать информацию о сессиях определенного пользователя, то для команды last необходимо указать имя этого пользователя:

Ограничить количество строк

Иногда лог, который выводит команда last , может быть очень большой. Чтобы ограничить количество выводимых строк, используется опция -n ЧислоСтрок или просто -ЧислоСтрок .

Выведем только десять свежих записей:

Просмотр неудачных попыток входа в систему

Как было сказано выше, записи о неудачных попытках входа в систему хранятся в лог-файле /var/log/btmp .

Команда last по умолчанию выводит информацию из файла /var/log/wtmp . Чтобы вывести информацию из другого файла, используется опция -f ИмяФайла

Выведем записи о неудачных попытках входа (из файла /var/log/btmp ):

Или же можно воспользоваться командой lastb . Команда lastb работает точно также, как и команда last , но выводит информацию из файла /var/log/btmp

Заключение

Мы рассмотрели использование команды last для просмотра информации об истории входа в систему.

Дополнительную информацию по использованию команды last можно получить, выполнив в терминале:

Источник

Как увидеть пользователей, вошедших в Linux

Главное меню » Операционная система Linux » Как увидеть пользователей, вошедших в Linux

Вы когда-нибудь интересовались, кто вошел в вашу систему Linux? Вы всегда можете перечислить всех пользователей в вашей системе Linux, но не все из них будут входить в систему все время.

Если вы работаете в многопользовательской среде Linux, такой как сервер Linux, проверка зарегистрированных пользователей может быть полезной и интересной одновременно.

4 Команды для просмотра зарегистрированных пользователей в Linux

Почти все эти команды основаны на данных, хранящихся в каталоге /var или /proc. Если вы немного знакомы со структурой каталогов в Linux, вы знаете, что эти два каталога содержат данные о запущенных процессах в вашей системе.

1. Используйте команду w, чтобы увидеть зарегистрированных пользователей в Linux

Может ли это быть проще, чем это? Просто введите односимвольную команду в терминале, и она покажет зарегистрированных пользователей в Linux.

И вот вывод для команды w:

Позвольте нам объяснить несколько терминов в выводе команды w. Те же термины будут использоваться и в других командах.

• TTY – предоставляет вам информацию о терминале, который используется для входа в систему. pts означает псевдотерминальный подчиненный, который указывает, что пользователь вошел в систему через соединение SSH.
• FROM – показывает IP-адрес компьютера пользователя, время входа в систему.
• LOGIN – время захода.
• IDLE – здесь можно увидеть, как долго пользователь простаивает (расслабляется на работе?: D).
• JCPU – это время, используемое всеми процессами, подключенными к TTY.
• PCPU – это время, используемое текущим процессом, выполняемым пользователем.
• WHAT – здесь вы можете увидеть этот текущий процесс.

2. Проверьте, кто вошел в систему с помощью команды who

Еще одна простая команда – who. Просто введите who, и он покажет, кто в данный момент вошел в вашу систему Linux.

Вы также можете увидеть время входа и IP-адрес вошедшего в систему пользователя.

3. Просто выведите только зарегистрированных пользователей с помощью команды users

Все команды, которые вы видели до сих пор, дают вам много информации о зарегистрированных пользователях. Если вы работаете над сценарием и хотите знать только имя вошедших в систему пользователей, анализ выходных данных этих команд будет дополнительной и несколько сложной задачей.

Здесь команда users может вам помочь. Эта команда выводит только зарегистрированных пользователей, ничего больше.

4. Используя команду finger, чтобы увидеть зарегистрированных пользователей

Возможно, вам сначала потребуется установить команду finger, потому что не во всех дистрибутивах Linux она установлена ​​по умолчанию.

Она доступна в универсальном репозитории Ubuntu, и вы можете установить ее с помощью этой команды:

После установки просто введите палец в терминале:

И вы увидите, кто вошел в вашу систему Linux.

Бонусный совет: посмотрите, кто вошел в вашу систему с момента последней перезагрузки

То, что вы видели до сих пор, касалось зарегистрированных пользователей. Как бы вы узнали, если пользователь вышел из системы?

Команда last в Linux дает вам информацию обо всех пользователях, которые вошли в систему с момента последней перезагрузки. Он также покажет время входа и выхода из системы вышедших пользователей.

Вот вывод команды last, которая, как мне кажется, не требует пояснений.

Мы надеемся, что эта краткая статья помогла вам найти пользователей, которые в настоящее время подключены к вашей системе Linux. Если вы знаете какой-либо другой способ сделать это, пожалуйста, поделитесь с нами вашим трюком в разделе комментариев.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Источник