So überprüfen Sie den Linux-Anmeldeverlauf

Wenn Sie einen Linux-Server haben, besteht die Möglichkeit, dass mehrere Benutzer auf das System zugreifen. Möglicherweise möchten Sie wissen, wer bei Ihrem System angemeldet ist, wenn sich ein bestimmter Benutzer beim Linux-System angemeldet hat. Möglicherweise möchten Sie auch wissen, von welcher IP-Adresse auf Ihr System zugegriffen wurde.

Auch wenn Sie nicht mehrere Benutzer haben, hat wahrscheinlich jemand versucht, auf Ihren Linux-Server zuzugreifen. Vertrauen Sie mir, das mag seltsam klingen, aber es ist heutzutage üblich, dass Bots versuchen, auf Ihre Linux-Server zuzugreifen. Glaub mir nicht? Überprüfen Sie einfach die fehlerhaften Anmeldeversuche auf Ihrem Server, um festzustellen, ob jemand versucht hat, sich bei Ihrem System anzumelden.

Lassen Sie mich Ihnen zeigen, wie Sie den Linux-Anmeldeverlauf anzeigen, damit Sie wissen, wer von wo aus auf Ihr System zugreift.

Anzeigen des Linux-Anmeldeverlaufs

Linux ist sehr gut darin, Protokolle über alles zu führen, was auf Ihrem System vor sich geht. Natürlich werden auch Logs über Login und Login-Versuche gespeichert. Die Anmeldeinformationen werden an drei Stellen gespeichert:

• /var/log/wtmp – Protokolle der letzten Anmeldesitzungen
• /var/run/utmp – Protokolle der aktuellen Anmeldesitzungen
• /var/log/btmp – Protokolle der fehlerhaften Anmeldeversuche

Sehen wir uns diese Dinge etwas genauer an.

1. Verlauf aller angemeldeten Benutzer anzeigen

Um den Verlauf aller erfolgreichen Anmeldungen auf Ihrem System anzuzeigen, verwenden Sie einfach den Befehl last.

last

Die Ausgabe sollte so aussehen. Wie Sie sehen können, listet es den Benutzer, die IP-Adresse, von der aus der Benutzer auf das System zugegriffen hat, Datum und Zeitrahmen der Anmeldung auf. pts/0 bedeutet, dass auf den Server über SSH zugegriffen wurde.

abhi     pts/0        202.91.87.115    Wed Mar 13 13:31   still logged in
root     pts/0        202.91.87.115    Wed Mar 13 13:30 - 13:31  (00:00)
servesha pts/0        125.20.97.117    Tue Mar 12 12:07 - 14:25  (02:17)
servesha pts/0        209.20.189.152  Tue Mar  5 12:32 - 12:38  (00:06)
root     pts/0        202.91.87.114    Mon Mar  4 13:35 - 13:47  (00:11)

wtmp begins Mon Mar  4 13:35:54 2019

Die letzte Zeile der Ausgabe gibt an, wann die wtmp-Protokolldatei erstellt wurde. Dies ist wichtig, denn wenn die wtmp-Datei kürzlich gelöscht wurde, kann der letzte Befehl den Verlauf der Anmeldungen vor diesem Datum nicht anzeigen.

Möglicherweise haben Sie eine lange Historie von Anmeldesitzungen, daher ist es besser, die Ausgabe durch weniger Befehle zu leiten.

2. Anmeldeverlauf eines bestimmten Benutzers anzeigen

Wenn Sie nur den Anmeldeverlauf eines bestimmten Benutzers sehen möchten, können Sie den Benutzernamen mit dem letzten Befehl angeben.

last <username>

Sie sehen nur die Anmeldeinformationen des ausgewählten Benutzers:

last servesha
servesha pts/0        125.20.97.117    Tue Mar 12 12:07 - 14:25  (02:17)
servesha pts/0        209.20.189.152  Tue Mar  5 12:32 - 12:38  (00:06)

wtmp begins Mon Mar  4 13:35:54 2019

3. Anzeige von IP-Adressen im Anmeldeverlauf anstelle von Hostnamen

Sie konnten es in der vorherigen Ausgabe nicht sehen, aber standardmäßig zeigt der letzte Befehl den Hostnamen anstelle der IP-Adresse des Benutzers. Wenn Sie sich in einem Subnetzwerk befinden, sehen Sie wahrscheinlich nur die Hostnamen.

Mit der Option -i können Sie die Anzeige der IP-Adressen der zuvor angemeldeten Benutzer erzwingen.

last -i

4. Nur die letzten N Anmeldungen anzeigen

Wenn Ihr System eine gute Betriebszeit hat, wäre Ihr Anmeldeverlauf vielleicht riesig. Wie ich bereits erwähnt habe, können Sie den Befehl less oder andere Dateianzeigebefehle wie head oder tail verwenden.

Der letzte Befehl gibt Ihnen die Möglichkeit, nur eine bestimmte Anzahl von Anmeldeverläufen anzuzeigen.

last -N

Ersetzen Sie einfach N durch die gewünschte Zahl. Sie können es auch mit dem Benutzernamen kombinieren.

5. Sehen Sie sich alle fehlerhaften Anmeldeversuche auf Ihrem Linux-Server an

Jetzt kommt der wichtige Teil:Überprüfung der fehlerhaften Anmeldeversuche auf Ihrem Server.

Sie können das auf zwei Arten tun. Sie können entweder den letzten Befehl mit der btmp-Protokolldatei verwenden:

last -f /var/log/btmp

oder Sie können den lastb-Befehl verwenden:

lastb

Beide Befehle führen zum gleichen Ergebnis. Das lastb ist eigentlich ein Link zum letzten Befehl mit der angegebenen Datei.

root     ssh:notty    218.92.0.158     Wed Mar 13 14:34 - 14:34  (00:00)
sindesi  ssh:notty    59.164.69.10     Wed Mar 13 14:34 - 14:34  (00:00)
root     ssh:notty    218.92.0.158     Wed Mar 13 14:34 - 14:34  (00:00)
sindesi  ssh:notty    59.164.69.10     Wed Mar 13 14:34 - 14:34  (00:00)
root     ssh:notty    218.92.0.158     Wed Mar 13 14:34 - 14:34  (00:00)

Falsche Anmeldungen können ein falsches Passwort sein, das von einem legitimen Benutzer eingegeben wurde. Es könnte auch ein Bot sein, der versucht, Ihr Passwort per Brute-Force zu erzwingen.

Sie müssen hier analysieren und sehen, ob Sie die IPs im Protokoll erkennen. Wenn es zu viele Anmeldeversuche von einer bestimmten IP mit Benutzer root gegeben hat, versucht wahrscheinlich jemand, Ihr System durch Brute-Forcing anzugreifen.

In solchen Fällen sollten Sie Fail2Ban einsetzen, um Ihren Server zu schützen. Fail2Ban verbannt solche IPs von Ihrem Server und verleiht Ihrem Server so eine zusätzliche Schutzebene.

Fazit

Ich hoffe, dieses Tutorial lehrt Sie, den Anmeldeverlauf unter Linux anzuzeigen, und Sie können dieses Wissen jetzt nutzen, um Ihr Linux-System besser zu verwalten und zu schützen.

Wenn Ihnen dieser Artikel gefallen hat, teilen Sie ihn bitte in den sozialen Medien und abonnieren Sie unseren Newsletter für weitere Linux-bezogene Tutorials.