Detektívy na serveroch: príkaz last

Občas sa treba zahrať na detektíva a zistiť, kto robil čongo-bongo na servery. Už ste sa hrali s príkazom last?

Znalosť problematiky:

- vedieť čítať logy
- ako tak poznať príkaz last
- mať detektívneho ducha
- pokojne by sa toho mohol podujať začiatočník  (nebojte sa:)

na akom OS sme to robili:

[marca@princ_bajaja ~]$ cat /etc/*release
CentOS Linux release 7.7.1908 (Core)
NAME="CentOS Linux"
VERSION="7 (Core)"

tak najprv, čo je príkaz last:

-ukáže nám, kto bol prihlásený na servery:

[root@eragon ~]# last
root     pts/2        101.245.77.84 Fri Jan 17 10:31   still logged in
zafira pts/3        :0               Fri Jan 17 10:22 - 10:25  (00:02)

wtmp begins Fri Jan 17 10:22:52 2020

Čo je na tomto dôležité? Kedy začína wtmp.

wtmp je súbor, kam sa ukladajú informácie o prihláseniach a odhláseniach. V niektorých distribúciách sa to rotuje a preto to ukladá len jeden mesiac. Ako vidíte na mojom princovi_bajajovi. Posledná aktivita bola 31.12.

[marca@princ_bajaja ~]$ ls -lh /var/log/wt*

-rw-rw-r-- 1 root utmp 2.3M Jan 17 10:39 /var/log/wtmp

-rw-rw-r-- 1 root utmp 3.4M Dec 31 18:06 /var/log/wtmp-20200101

Tieto súbory neprečítate normálne cez cat. Preto musíme použiť príkaz last s parametrom f ako file. (potom som tam dal ešte head, lebo by mi vypísalo dlhý text)

[marca@princ_bajaja~]$ last -f /var/log/wtmp-20200101 | head  -n 100

duri pts/55      :1012            Tue Dec 31 14:38 - 14:38  (00:00)

jozi   pts/60       100.200.200.100     Tue Dec 31 14:21 - 15:48  (01:27)

marca  pts/63       jelenvizor.sk Tue Dec 31 14:21 - 14:21  (00:00)

jozi   pts/60       100.200.300.500     Tue Dec 31 14:20 - 14:21  (00:00)

tomas pts/63       155.56.57.58  Tue Dec 31 13:33 - 14:16  (00:43)

Čítajte aj: https://www.computerhope.com/jargon/w/wtmp.htm 

aj toto: https://askubuntu.com/questions/325491/how-to-properly-display-the-contents-of-the-utmp-wtmp-and-btmp-files/325495