Как увидеть успешные и неуспешные события входа в Ubuntu 14.04.5?
Вы можете вместо создания скрипта просто добавить в файл /etc/lightdm/lightdm.conf строку, подобную этой:
display-setup-script=xrandr --output default --mode 1280x720
Перед вставкой убедитесь, что эта команда работает, потому что с неправильной командой lightdm не запускается.
4 ответа
Как было предложено @MichaelBay, я переписываю это как ответ.
Я предлагаю модификацию решения, предложенного @Terrance. Во-первых, неудачные попытки не используют «failed»; они используют «отказ». Во-вторых, использование «session open» будет возвращать больше, чем просто сеансы пользователя.
Если вы используете cat /var/log/auth.log | grep lightdm:auth, вы получите как успешные, так и неудачные попытки. Это предполагает, что вас не интересуют логины ssh / tty. Чтобы получить только успешные, cat /var/log/auth.log | grep "lightdm:auth): r". Только для неудачных, cat /var/log/auth.log | grep "lightdm:auth): a".
Приложение, которое вы используете, подходит для их проверки. aureport поставляется в пакете auditd и по умолчанию не установлен.
Столбцы в отчете выглядят следующим образом:
date time acct host term exe success event
Показывая в моей системе, если я запустил его без --success или --failed, он покажет все:
terrance@terrance-ubuntu:~$ sudo aureport -au -i
[sudo] password for terrance:
Authentication Report
============================================
# date time acct host term exe success event
============================================
1. 11/02/2017 16:37:45 terrance ? /dev/pts/2 /usr/bin/sudo yes 90
2. 11/02/2017 16:39:14 terrance ? /dev/pts/2 /usr/bin/sudo yes 243
Столбец success - это то, что показывает, был ли мой логин успешным или нет. Как мы можем видеть на этом, обе попытки входа в систему были успешными (да). Число в последней части каждой строки - это номер event, в котором это произошло. Эти числа можно игнорировать. Это важная информация перед ней.
Как было предложено @MichaelBay, я переписываю это как ответ.
Я предлагаю модификацию решения, предложенного @Terrance. Во-первых, неудачные попытки не используют «failed»; они используют «отказ». Во-вторых, использование «session open» будет возвращать больше, чем просто сеансы пользователя.
Если вы используете cat /var/log/auth.log | grep lightdm:auth, вы получите как успешные, так и неудачные попытки. Это предполагает, что вас не интересуют логины ssh / tty. Чтобы получить только успешные, cat /var/log/auth.log | grep "lightdm:auth): r". Только для неудачных, cat /var/log/auth.log | grep "lightdm:auth): a".
Приложение, которое вы используете, подходит для их проверки. aureport поставляется в пакете auditd и по умолчанию не установлен.
Столбцы в отчете выглядят следующим образом:
date time acct host term exe success event
Показывая в моей системе, если я запустил его без --success или --failed, он покажет все:
terrance@terrance-ubuntu:~$ sudo aureport -au -i
[sudo] password for terrance:
Authentication Report
============================================
# date time acct host term exe success event
============================================
1. 11/02/2017 16:37:45 terrance ? /dev/pts/2 /usr/bin/sudo yes 90
2. 11/02/2017 16:39:14 terrance ? /dev/pts/2 /usr/bin/sudo yes 243
Столбец success - это то, что показывает, был ли мой логин успешным или нет. Как мы можем видеть на этом, обе попытки входа в систему были успешными (да). Число в последней части каждой строки - это номер event, в котором это произошло. Эти числа можно игнорировать. Это важная информация перед ней.