Cómo verificar el historial de inicio de sesión de Linux

Hola me llamo Ana. Os traigo un nuevo post sobre el sistema operativo mas molón. Encantado linuxeros.

Si tiene un servidor Linux, hay varios usuarios que pueden acceder al sistema. Es posible que desee saber quién inició sesión en su sistema cuando un usuario en particular inició sesión en Linux. También puede querer saber desde qué dirección IP se accedió a su sistema.

Incluso si no tiene varios usuarios, es probable que alguien haya intentado acceder a su servidor Linux. Créame, esto puede sonar extraño, pero hoy en día los bots a menudo intentan acceder a sus servidores Linux. ¿No me crees? Simplemente verifique si hay intentos de inicio de sesión incorrectos en su servidor para ver si alguien ha intentado iniciar sesión en su sistema.

Permítame mostrarle cómo ver su historial de inicio de sesión de Linux para que sepa quién tiene acceso a su sistema y desde dónde.

Ver el historial de inicio de sesión de Linux

Linux es muy bueno para mantener registros de todo lo que sucede en su sistema. Naturalmente, también almacena registros e intentos de inicio de sesión. La información de inicio de sesión se almacena en tres lugares:

/ var / log / wtmp – Registros de las últimas sesiones de inicio de sesión / var / run / utmp – Registros de las sesiones de inicio de sesión actuales / var / log / btmp – Registros de intentos de inicio de sesión incorrectos

Veamos estas cosas con un pequeño detalle.

1. Ver el historial de todos los usuarios registrados

Para ver el historial de todos los inicios de sesión exitosos en su sistema, simplemente use el último comando.

last

El resultado debería verse así. Como puede ver, enumera el usuario, la dirección IP desde la que el usuario accedió al sistema, la fecha y el período de tiempo para iniciar sesión. pts / 0 significa que se accedió al servidor a través de SSH.

abhi     pts/0        202.91.87.115    Wed Mar 13 13:31   still logged in
root     pts/0        202.91.87.115    Wed Mar 13 13:30 - 13:31  (00:00)
servesha pts/0        125.20.97.117    Tue Mar 12 12:07 - 14:25  (02:17)
servesha pts/0        209.20.189.152  Tue Mar  5 12:32 - 12:38  (00:06)
root     pts/0        202.91.87.114    Mon Mar  4 13:35 - 13:47  (00:11)

wtmp begins Mon Mar  4 13:35:54 2019

La última línea de la salida le dice cuándo se creó el archivo de registro wtmp. Esto es importante porque si el archivo wtmp se eliminó recientemente, el último comando no podrá mostrar el historial de inicio de sesión antes de esa fecha.

Puede tener un gran historial de sesiones de inicio de sesión, por lo que es mejor generar la salida con menos comandos.

2. Ver el historial de inicio de sesión de un usuario específico

Si solo desea ver el historial de inicio de sesión de un usuario específico, puede especificar el nombre de usuario con el último comando.

last <username>

Solo verá la información de inicio de sesión del usuario seleccionado:

last servesha
servesha pts/0        125.20.97.117    Tue Mar 12 12:07 - 14:25  (02:17)
servesha pts/0        209.20.189.152  Tue Mar  5 12:32 - 12:38  (00:06)

wtmp begins Mon Mar  4 13:35:54 2019

3. Muestra las direcciones IP en el historial de inicio de sesión en lugar del nombre de host

No puede verlo en la salida anterior, pero de forma predeterminada, el último comando muestra el nombre de host en lugar de la dirección IP del usuario. Si está en una subred, probablemente solo verá nombres de host.

Puede forzar la visualización de las direcciones IP de los usuarios previamente registrados con la opción -i.

last -i

4. Mostrar solo las últimas N entradas

Si su sistema tiene un buen tiempo de ejecución, tal vez su historial de inicio de sesión sea enorme. Como mencioné anteriormente, puede usar el comando less u otros comandos para ver archivos como un encabezado o una cola.

El último comando le permite mostrar solo un cierto número de historiales de inicio de sesión.

last -N

Simplemente reemplace N con el número que desee. También puede combinarlo con un nombre de usuario.

5. Vea todos los intentos fallidos de iniciar sesión en su servidor Linux

Ahora viene la parte importante: compruebe si hay intentos de inicio de sesión incorrectos en su servidor.

Puede hacer esto de dos maneras. Puede usar el último comando con el archivo de registro btmp:

last -f /var/log/btmp

o puede usar el comando lastb:

lastb

Ambos equipos darán el mismo resultado. Lastb es en realidad un enlace al último comando con el archivo especificado.

root     ssh:notty    218.92.0.158     Wed Mar 13 14:34 - 14:34  (00:00)
sindesi  ssh:notty    59.164.69.10     Wed Mar 13 14:34 - 14:34  (00:00)
root     ssh:notty    218.92.0.158     Wed Mar 13 14:34 - 14:34  (00:00)
sindesi  ssh:notty    59.164.69.10     Wed Mar 13 14:34 - 14:34  (00:00)
root     ssh:notty    218.92.0.158     Wed Mar 13 14:34 - 14:34  (00:00)

La entrada incorrecta puede ser una contraseña incorrecta ingresada por un usuario legítimo. También podría ser un bot intentando fuerza bruta tu contraseña.

Debe analizar aquí y ver si reconoce las direcciones IP en el registro. Si hay demasiados intentos de iniciar sesión desde una IP en particular con una raíz de usuario, es probable que alguien esté tratando de atacar su sistema por fuerza bruta.

En tales casos, debe implementar Fail2Ban para proteger su servidor. Fail2Ban prohibirá dichas direcciones IP de su servidor y, por lo tanto, le dará a su servidor una capa adicional de protección.

Cómo borrar los archivos de registro de Systemd Journal en Linux

Este tutorial rápido le muestra dos formas de borrar los registros del sistema de su sistema Linux.

Conclusión

Espero que este tutorial le enseñe a revisar su historial de inicio de sesión de Linux y ahora puede usar este conocimiento para administrar y proteger mejor su sistema Linux.

Si le gustó este artículo, compártalo en las redes sociales y suscríbase a nuestro boletín para obtener más tutoriales de Linux.

El Blog lo hacemos para ayudar y servir de referencia a la comunidad Linux. Esperamos que os guste.

Leave a Reply