Las herramienta de linea de comandos Linux para verificación de accesos de usuarios al sistema son indispensables al momento de determinar que ingresos no autorizados se han efectuado en el servidor, a continuación vamos a utilizar unos comandos que pueden ser muy utiles para estos casos.
El comando last, Lista los ultimos usuarios que han ingresado al sistema, para esto consulta el archivo /var/log/wtmp.
su forma de uso es:
[code language=»bash»]
last [opciones]
[/code]
| -n | Seguido del numero de lineas a mostrar |
| -R | Oculta el campo HostName. |
| -x | Muestra entradas de apagado del sistema y niveles de ejecución. |
| -d | Muestra conexiones no-locales, con información como el número de IP. |
| [usuario] | Muestra las entradas del usuario. |
Ejemplos
[code language=»bash»]
last
[/code]
[code language=»bash»]
last -n 5
[/code]
[code language=»bash»]
last root
[/code]
El comando lastb, muestra los accesos fallidos, para esto consulta el archivo /var/log/btmp.
[code language=»bash»]
lastb [opciones]
[/code]
| -n | Seguido del numero de lineas a mostrar |
| -n | Seguido del numero de lineas a mostrar |
| -R | Oculta el campo HostName. |
| -x | Muestra entradas de apagado del sistema y niveles de ejecución. |
| -d | Muestra conexiones no-locales, con información como el número de IP. |
| [usuario] | Muestra las entradas del usuario. |
Ejemplos
[code language=»bash»]
lastb
[/code]
[code language=»bash»]
last -d
[/code]
[code language=»bash»]
last jona
[/code]
El comando lastlog, muestra la ultima hora de conexion de todas las cuentas de usuarios,
para esto accede a la información del archivo /var/log/lastlog
su forma de uso es:
[code language=»bash»]
lastlog [opciones]
[/code]
-t Seguido de un numero, muestra los accesos hace menos el numero de dias indicado
-u Muestra informacion de acceso del usuario indicado
Ejemplos
[code language=»bash»]
lastlog -t 3
[/code]
[code language=»bash»]
lastlog -u root
[/code]
Para comprobar cuándo se escribió por última vez el archivo /var/log/wtmp,
puede utilizar el comando stat:
[code language=»bash»]
Stat /var/log/wtmp
[/code]
Debes tener en cuenta que existe un usuario reboot, que se conectará cada vez que el sistema es reiniciado. De esta manera last reboot mostrará todas las desconexiones
desde que el fichero fue creado.
Si no no deseas ver lo reinicios, puedes filtrar el resultado con grep de la siguiente manera:
[code language=»bash»]
last | grep -v "reboot"
[/code]