누가, 언제, 어디서? 좋은 보안 관행에 따르면 누가 Linux 컴퓨터에 액세스하고 있는지 알아야합니다. 우리는 당신에게 방법을 보여줍니다.
wtmp 파일
Linux 및 MacOS와 같은 다른 유닉스 계열 운영 체제는 로깅에 매우 능숙합니다. 시스템 창 어딘가에, 당신이 생각할 수있는 모든 것에 대한 로그가 있습니다. 관심있는 로그 파일을 wtmp. “w”는“언제”또는“누가”를 의미 할 수 있습니다. 아무도 동의하지 않는 것 같습니다. “tmp”부분은 “임시”를 의미 할 수도 있지만 “timestamp”를 나타낼 수도 있습니다.
우리가 아는 것은 wtmp 모든 로그인 및 로그 아웃 이벤트를 캡처하고 기록하는 로그입니다. 데이터 검토 wtmp 로그는 시스템 관리 업무에 보안을 고려한 기본 단계입니다. 일반적인 가족 용 컴퓨터의 경우 보안 측면에서 그렇게 중요하지는 않지만 컴퓨터의 조합 된 사용을 검토 할 수 있다는 것이 흥미 롭습니다.
Linux의 많은 텍스트 기반 로그 파일과 달리 wtmp 이진 파일입니다. 그 안에있는 데이터에 액세스하려면 해당 작업을 위해 설계된 도구를 사용해야합니다.
그 도구는 last 명령.
마지막 명령
그만큼 last 명령은 wtmp 로그하여 터미널 창에 표시합니다.
입력하면 last Enter 키를 누르면 로그 파일의 모든 레코드가 표시됩니다.
last
각 레코드 wtmp 터미널 창에가 표시됩니다.
왼쪽에서 오른쪽으로 각 줄에는 다음이 포함됩니다.
- 그만큼 사용자 이름 로그인 한 사람의
- 그만큼 단말기 그들은 로그인했다. 터미널 항목
:0Linux 컴퓨터 자체에 로그인했음을 의미합니다. - 그만큼 IP 주소 로그인 한 머신의
- 그만큼 로그인 시간 및 날짜 스탬프
- 그만큼 지속 세션의.
마지막 줄은 로그에서 가장 빨리 기록 된 세션의 날짜와 시간을 알려줍니다.
컴퓨터를 부팅 할 때마다 가상의 사용자 '재부팅'에 대한 로그인 항목이 로그에 입력됩니다. 터미널 필드는 커널 버전으로 대체됩니다. 이러한 항목의 로그인 세션 지속 시간은 컴퓨터의 가동 시간을 나타냅니다.
특정 라인 수 표시
사용하여 last 자체적으로 명령을 실행하면 대부분의 로그가 터미널 창을지나면서 전체 로그 덤프가 생성됩니다. 보이는 부분은 로그에서 가장 빠른 데이터입니다. 이것은 아마도 당신이보고 싶었던 것이 아닐 것입니다.
당신을 말할 수있다 last 특정 수의 출력 라인을 제공합니다. 명령 행에 원하는 행 수를 제공하여이를 수행하십시오. 하이픈에 유의하십시오. 다섯 줄을 보려면 다음을 입력해야합니다 -5 그리고 아닙니다 5:
last -5
이것은 가장 최근의 데이터 인 로그에서 처음 다섯 줄을 제공합니다.
원격 사용자의 네트워크 이름 표시
그만큼 -d (도메인 이름 시스템) 옵션이 알려줍니다 last 원격 사용자의 IP 주소를 컴퓨터 또는 네트워크 이름으로 확인하려고합니다.
last -d
항상 가능하지는 않습니다 last IP 주소를 네트워크 이름으로 변환하지만 명령은 가능하면 그렇게합니다.
IP 주소 및 네트워크 이름 숨기기
IP 주소 나 네트워크 이름에 관심이 없다면 -R 이 필드를 억제하는 (호스트 이름 없음) 옵션.
이는 추악한 랩 어라운드없이 깔끔한 출력을 제공하므로이 옵션은 다음 예제 모두에서 사용되었습니다. 당신이 사용하는 경우 last 비정상적이거나 의심스러운 활동을 식별하려고하면 아니 이 필드를 억제하십시오.
날짜 별 레코드 선택
당신은 사용할 수 있습니다 -s (날짜) 옵션은 특정 날짜 이후에 발생한 로그인 이벤트 만 표시하도록 출력을 제한합니다.
2019 년 5 월 26 일부터 발생한 로그인 이벤트 만 보려면 다음 명령을 사용하십시오.
last -R -s 2019-05-26
출력은 지정된 날짜의 00:00 시부 터 로그 파일의 최신 레코드까지 발생한 로그인 이벤트가있는 레코드를 표시합니다.
종료일까지 검색
당신은 사용할 수 있습니다 -t 종료 날짜를 지정합니다. 이를 통해 관심있는 두 날짜 사이에 발생한 로그인 레코드 세트를 선택할 수 있습니다.
이 명령은 last 26 일 00:00 (새벽)부터 27 일 00:00 (새벽)까지 로그인 레코드를 검색하여 표시합니다. 이는 26 일에 열린 로그인 세션으로 목록을 좁 힙니다.
시간 및 날짜 형식
당신은 시간뿐만 아니라 날짜를 사용할 수 있습니다 -s 과 -t 옵션.
함께 사용할 수있는 다른 시간 형식 last 날짜와 시간을 사용하는 옵션은 다음과 같습니다.
- YYYYMMDDhhmmss
- YYYY-MM-DD hh : mm : ss
- YYYY-MM-DD hh : mm – 초는 00으로 설정됩니다
- YYYY-MM-DD – 시간이 00:00:00으로 설정되어 있습니다
- hh : mm : ss – 날짜가 오늘로 설정되었습니다
- hh : mm – 날짜는 오늘, 초는 00으로 설정됩니다
- 지금
- 어제 – 시간은 00:00:00으로 설정됩니다
- 오늘 – 시간은 00:00:00으로 설정됩니다
- 내일 – 시간은 00:00:00으로 설정됩니다
- +5 분
- -5 일
왜‘충분히’?
이 기사의 연구 중에 목록의 두 번째 및 세 번째 형식이 작동하지 않았습니다. 이 명령은 Ubuntu, Fedora 및 Manjaro 배포판에서 테스트되었습니다. 이들은 각각 데비안, 레드햇 및 아치 배포판의 파생물입니다. 여기에는 Linux 배포의 모든 주요 제품군이 포함됩니다.
last -R -s 2019-05-26 11:00 -t 2019-05-27 13:00
보시다시피, 명령은 레코드를 전혀 반환하지 않았습니다.
이전 명령과 동일한 날짜 및 시간으로 목록에서 첫 번째 날짜 및 시간 형식을 사용하면 레코드가 리턴됩니다.
last -R -s 20190526110000 -t 20190527130000
상대 단위로 검색
현재 날짜 및 시간을 기준으로 분 또는 일 단위로 측정되는 기간도 지정합니다. 여기서 우리는 이틀 전부터 하루 전까지의 기록을 요구하고 있습니다.
last -R -s -2days -t -1days
어제, 오늘 그리고 지금
당신이 사용할 수있는 yesterday 과 tomorrow 어제 날짜와 오늘 날짜의 약어로
last -R -s yesterday -t today
여기에는 오늘의 기록이 포함되지 않습니다. 이것이 예상되는 동작입니다. 이 명령은 시작 날짜부터 레코드를 요청합니다. …까지 종료일. 그렇지 않습니다 포함 종료일로부터의 기록.
그만큼 now 옵션은 “현재 시간의 오늘”의 약어입니다. 명령을 실행할 때까지 00:00 (새벽) 이후에 발생한 로그인 이벤트를 보려면 다음 명령을 사용하십시오.
last -R -s today -t now
여전히 로그인 한 이벤트를 포함하여 현재 모든 로그인 이벤트가 표시됩니다.
현재 옵션
그만큼 -p (현재) 옵션을 사용하면 특정 시점에 누가 로그인했는지 확인할 수 있습니다.
언제 로그인 또는 로그 아웃했는지는 중요하지 않지만 지정한 시간에 컴퓨터에 로그인 한 경우에는 목록에 포함됩니다.
날짜없이 시간을 지정하면 last “오늘”을 의미한다고 가정합니다.
last -R -p 09:30
여전히 (명확하게) 로그인 한 사람들은 로그 아웃 시간이 없습니다. 그들은로 설명된다 still logged in . 지정한 시간 이후 컴퓨터가 재부팅되지 않은 경우 다음과 같이 표시됩니다. still running.
당신이 사용하는 경우 now 와 속기 -p (현재) 옵션을 사용하면 명령을 실행할 때 누가 로그인했는지 확인할 수 있습니다.
last -R -p now
이를 사용하여 달성 할 수있는 것을 달성하는 다소 긴 방법 who 명령.
관련 : Linux에서 현재 사용자 계정을 확인하는 방법
lastb 명령
그만큼 lastb 명령은 언급 할 가치가 있습니다. 로그에서 데이터를 읽습니다. btmp. 이 로그 이름에 대한 합의가 조금 더 있습니다. ‘b’는 나쁘지만‘tmp’부분은 여전히 논쟁의 대상입니다.
lastb 나쁜 것을 나열합니다 (실패한) 로그인 시도. 그것은 같은 옵션을 받아들입니다 last. 로그인 시도에 실패 했으므로 항목의 길이는 모두 00:00입니다.
당신은 사용해야합니다 sudo 와 lastb.
sudo lastb -R
중요한 마지막 말씀
누가 Linux 컴퓨터에 로그인했는지, 언제 어디서 어디서 유용한 정보를 알 수 있는지 알고 있습니다. 이를 실패한 로그인 시도의 세부 사항과 결합하면 의심스러운 동작을 조사하는 첫 단계를 수행하게됩니다.
