Вход в систему для всех пользователей
Доступен ли журнал, в котором мы можем видеть попытки входа в систему, как неудачные, так и успешные, для всех пользователей в 18.04? Кроме того, любая возможная информация о последнем входе в систему для пользователя? Спасибо.
2 ответа
Существует пакет, названный "аудитом". Можно установить его с:
sudo apt install auditd
Затем необходимо будет запустить и позволить этому запуститься при начальной загрузке:
sudo systemctl start audit
sudo systemctl enable audit
Вся попытка входа в систему или успешный или не зарегистрируется к /var/log/auth.log (ssh, логины уже зарегистрированы там также). Также пакет имеет способность к созданию отчетов:
Успешная сводка попыток:
aureport -l --success --summary -i | less
Отчет о неудачных попытках:
aureport -au -i --failed | less
Можно подкачать "-отказавший" с "-успех" или наоборот в вышеупомянутых командах.
Ни один журнал, но успешные логины не зарегистрирован /var/log/wtmp и неудачные в /var/log/btmp. Они - двоичные файлы, но читаемы через last и lastb команды. От man last:
DESCRIPTION last searches back through the /var/log/wtmp file (or the file desig‐ nated by the -f option) and displays a list of all users logged in (and out) since that file was created.
и
lastb is the same as last, except that by default it shows a log of the /var/log/btmp file, which contains all the bad login attempts.
Отметьте тот доступ к btmp (неудавшийся вход в систему), файл ограничивается из соображений безопасности: в то время как никакой файл не записывает строки пароля дизайном, весьма общая причина неудавшихся логинов состоит в том, когда пользователи по ошибке вводят свой пароль в поле входа в систему. Следовательно sudo необходим при выполнении lastb.
Также обратите внимание, что файлы повернуты - можно хотеть оглянуться назад через более ранние журналы напр.
sudo lastb -f /var/log/btmp.1