Cách theo dõi log xác thực hệ thống trên Ubuntu

---

Cách giám sát đăng nhập hệ thống

Thành phần cơ bản của quản lý xác thực là giám sát hệ thống sau khi bạn đã cấu hình user của bạn .

May mắn là các hệ thống Linux hiện đại ghi lại tất cả các lần xác thực trong một file rời rạc. Điều này có tại " /var/log/auth.log ":

sudo less /var/log/auth.log

May  3 18:20:45 localhost sshd[585]: Server listening on 0.0.0.0 port 22.
May  3 18:20:45 localhost sshd[585]: Server listening on :: port 22.
May  3 18:23:56 localhost login[673]: pam_unix(login:session): session opened fo
r user root by LOGIN(uid=0)
May  3 18:23:56 localhost login[714]: ROOT LOGIN  on '/dev/tty1'
Sep  5 13:49:07 localhost sshd[358]: Received signal 15; terminating.
Sep  5 13:49:07 localhost sshd[565]: Server listening on 0.0.0.0 port 22.
Sep  5 13:49:07 localhost sshd[565]: Server listening on :: port 22.
. . .

Cách sử dụng lệnh "cuối cùng"

Thông thường, bạn sẽ chỉ quan tâm đến những lần đăng nhập mới nhất . Bạn có thể thấy những điều này bằng công cụ " cuối cùng ":

last

demoer   pts/1        rrcs-72-43-115-1 Thu Sep  5 19:37   still logged in   
root     pts/1        rrcs-72-43-115-1 Thu Sep  5 19:37 - 19:37  (00:00)    
root     pts/0        rrcs-72-43-115-1 Thu Sep  5 19:15   still logged in   
root     pts/0        rrcs-72-43-115-1 Thu Sep  5 18:35 - 18:44  (00:08)    
root     pts/0        rrcs-72-43-115-1 Thu Sep  5 18:20 - 18:20  (00:00)    
demoer   pts/0        rrcs-72-43-115-1 Thu Sep  5 18:19 - 18:19  (00:00)

Điều này cung cấp một version định dạng của file " / etc / log / wtmp ".

Như bạn thấy , ở dòng thứ nhất và thứ ba, nó cho thấy user vẫn đang đăng nhập vào hệ thống. Nếu không, tổng thời gian đăng nhập vào hệ thống trong một phiên được cung cấp bởi một tập hợp các giá trị được phân tách bằng dấu gạch ngang.

Cách sử dụng lệnh "lastlog"

Nếu bạn muốn xem xét tình huống này từ một góc độ khác, bạn có thể xem lần cuối cùng mỗi user trên hệ thống đăng nhập.

Thông tin này được cung cấp bằng cách truy cập file " / etc / log / lastlog ". Sau đó, nó được sắp xếp theo các mục trong file "/ etc / passwd":

lastlog

Username         Port     From             Latest
root             pts/1    rrcs-72-43-115-1 Thu Sep  5 19:37:02 +0000 2013
daemon                                     **Never logged in**
bin                                        **Never logged in**
sys                                        **Never logged in**
sync                                       **Never logged in**
games                                      **Never logged in**
. . .

Bạn có thể xem thời gian đăng nhập mới nhất của mọi user trên hệ thống.

Lưu ý user hệ thống hầu như sẽ có "** Chưa từng đăng nhập **". Trước đó ta đã thấy cách các account này không cài đặt xác thực password , vì vậy đây là giá trị mong đợi.

Kết luận

Xác thực user trên Linux là một lĩnh vực quản lý hệ thống tương đối linh hoạt. Có nhiều cách để hoàn thành cùng một mục tiêu bằng những công cụ rất đơn giản.

Điều quan trọng là phải hiểu nơi hệ thống lưu giữ thông tin về thông tin đăng nhập để bạn có thể theo dõi server của bạn để biết các thay đổi không phản ánh mức sử dụng của bạn.

---

---

Các tin liên quan

Cách bắt đầu với Jekyll trên VPS Ubuntu
2013-08-28
Cách sử dụng Dig, Whois và Ping trên Ubuntu VPS để truy vấn dữ liệu DNS
2013-08-23
Cách thiết lập Sass trên VPS của bạn đang chạy trên Ubuntu
2013-08-14
Cách cài đặt Cassandra và chạy một cụm node đơn trên VPS Ubuntu
2013-08-08
Cách cài đặt CouchDB từ nguồn trên VPS Ubuntu 13.04 x64
2013-08-06
Cách quản lý gói trong Ubuntu và Debian với Apt-Get & Apt-Cache
2013-08-06
Bắt đầu với LXC trên VPS Ubuntu 13.04
2013-08-06
Cách cài đặt Go and Revel trên VPS Ubuntu 13.04 x64
2013-07-31
Cách thiết lập chứng chỉ SSL với PhpMyAdmin trên VPS Ubuntu 12.04
2013-07-30
Cách cài đặt và quản lý trình giám sát trên Ubuntu và VPS Debian
2013-07-23