Ubuntuでシステム認証ログを監視する方法
システムログインを監視する方法
認証管理の基本的なコンポーネントは、ユーザーを構成した後にシステムを監視することです。
幸いなことに、最近のLinuxシステムは、すべての認証試行を個別のファイルに記録します。 これは「/var/log/auth.log」にあります。
sudo less /var/log/auth.log
May 3 18:20:45 localhost sshd[585]: Server listening on 0.0.0.0 port 22. May 3 18:20:45 localhost sshd[585]: Server listening on :: port 22. May 3 18:23:56 localhost login[673]: pam_unix(login:session): session opened fo r user root by LOGIN(uid=0) May 3 18:23:56 localhost login[714]: ROOT LOGIN on '/dev/tty1' Sep 5 13:49:07 localhost sshd[358]: Received signal 15; terminating. Sep 5 13:49:07 localhost sshd[565]: Server listening on 0.0.0.0 port 22. Sep 5 13:49:07 localhost sshd[565]: Server listening on :: port 22. . . .
「最後の」コマンドの使用方法
通常、関心があるのは最新のログイン試行のみです。 これらは、「last」ツールで確認できます。
last
demoer pts/1 rrcs-72-43-115-1 Thu Sep 5 19:37 still logged in root pts/1 rrcs-72-43-115-1 Thu Sep 5 19:37 - 19:37 (00:00) root pts/0 rrcs-72-43-115-1 Thu Sep 5 19:15 still logged in root pts/0 rrcs-72-43-115-1 Thu Sep 5 18:35 - 18:44 (00:08) root pts/0 rrcs-72-43-115-1 Thu Sep 5 18:20 - 18:20 (00:00) demoer pts/0 rrcs-72-43-115-1 Thu Sep 5 18:19 - 18:19 (00:00)
これにより、「 / etc / log /wtmp」ファイルのフォーマットされたバージョンが提供されます。
ご覧のとおり、1行目と3行目は、ユーザーがまだシステムにログインしていることを示しています。 それ以外の場合、セッション中にシステムにログインした合計時間は、ハイフンで区切られた値のセットで示されます。
「lastlog」コマンドの使用方法
この状況を別の角度から見たい場合は、システムの各ユーザーが最後にログインした時刻を確認できます。
この情報は、「 / etc / log /lastlog」ファイルにアクセスすることで提供されます。 次に、「/ etc/passwd」ファイルのエントリに従って並べ替えられます。
lastlog
Username Port From Latest root pts/1 rrcs-72-43-115-1 Thu Sep 5 19:37:02 +0000 2013 daemon **Never logged in** bin **Never logged in** sys **Never logged in** sync **Never logged in** games **Never logged in** . . .
システム上のすべてのユーザーの最新のログイン時刻を確認できます。
システムユーザーのほとんどすべてが「**ログインしたことがない**」になっていることに注意してください。 これらのアカウントにはパスワード認証が設定されていないことを以前に見たので、これは期待値です。
結論
Linuxでのユーザー認証は、システム管理の比較的柔軟な領域です。 非常にシンプルなツールで同じ目的を達成する方法はたくさんあります。
使用状況を反映していない変更がないかサーバーを監視できるように、システムがログインに関する情報をどこに保持しているかを理解することが重要です。