Како користити последњу команду на Линуку

by
Tweet
Share
Share
Pin

Ко, када и одакле? Добре безбедносне праксе кажу да би требало да знате ко је приступао вашем Линук рачунару. Показаћемо вам како.

Датотека втмп

Линук и други оперативни системи слични Уник-у као што је МацОС су веома добри у евидентирању. Негде у утроби система постоји дневник за скоро све што вам падне на памет. Датотека евиденције која нас занима зове се втмп. „в“ може значити „када“ или „ко“ – изгледа да се нико не слаже. Део „тмп“ вероватно значи „привремено“, али може да стоји и за „временску ознаку“.

Оно што знамо је да је втмп дневник који бележи и бележи сваки догађај пријаве и одјаве. Преглед података у втмп дневнику је основни корак у предузимању безбедносног приступа дужностима администратора вашег система. За типичан породични рачунар, то можда и није толико критично из безбедносне перспективе, али је интересантно да можете да прегледате вашу комбиновану употребу рачунара.

За разлику од многих текстуалних лог датотека у Линуку, втмп је бинарна датотека. Да бисмо приступили подацима у њему, потребно је да користимо алат дизајниран за тај задатак.

Тај алат је последња команда.

Последња команда

Последња команда чита податке из втмп дневника и приказује их у прозору терминала.

Ако унесете последњи и притиснете Ентер, биће приказати све записе из датотеке евиденције.

last

Сваки запис из втмп-а је приказан у прозору терминала.

С лева на десно, сваки ред садржи:

Корисничко име особе која се пријавила.
Терминал на који су били пријављени. Терминални унос :0 значи да су пријављени на самом Линук рачунару.
ИП адреса машине на коју су пријављени.
Ознака времена и датума пријаве.
Трајање сесије.

  Како направити невидљиво име неслагања

Последњи ред нам говори датум и време најраније забележене сесије у дневнику.

Унос за пријаву за фиктивног корисника ‘ребоот’ се уноси у дневник сваки пут када се рачунар покрене. Поље терминала је замењено верзијом кернела. Трајање пријављене сесије за ове уносе представља време рада за рачунар.

Приказ одређеног броја линија

Коришћење последње команде самостално производи думп читавог дневника, при чему већина прође поред прозора терминала. Део који остаје видљив је најранији податак у евиденцији. Ово вероватно није оно што сте желели да видите.

Можете рећи последњем да вам да одређени број излазних линија. Урадите то тако што ћете на командној линији унети жељени број линија. Обратите пажњу на цртицу. Да бисте видели пет редова, морате да унесете -5 а не 5:

last -5

Ово даје првих пет редова из дневника, што је најновији податак.

Приказ имена мреже за удаљене кориснике

Опција -д (систем имена домена) говори последњем да покуша да разреши ИП адресе удаљених корисника у назив машине или мреже.

last -d

Није увек могуће да последњи конвертује ИП адресу у назив мреже, али команда ће то учинити када буде могла.

Сакривање ИП адреса и мрежних имена

Ако вас не занимају ИП адреса или назив мреже, користите опцију -Р (без имена хоста) да бисте сузбили ово поље.

Пошто ово даје уреднији излаз без ружног омотача, ова опција је коришћена у свим следећим примерима. Ако користите ласт да бисте покушали да идентификујете неуобичајене или сумњиве активности, не бисте потиснули ово поље.

Одабир записа по датуму

Можете да користите опцију -с (од) да ограничите излаз да прикаже само догађаје пријављивања који су се десили од одређеног датума.

Ако желите да видите само догађаје пријављивања који су се десили од 26. маја 2019. године, користили бисте следећу команду:

last -R -s 2019-05-26

Излаз приказује записе са догађајима пријављивања који су се десили од 00:00 одређеног дана, до најновијих записа у датотеци евиденције.

  Како да видите где се Покемони мресте у вашој близини у реалном времену

Претрага до крајњег датума

Можете користити -т (до) да наведете датум завршетка. Ово вам омогућава да изаберете скуп записа за пријаву који су се десили између два интересантна датума.

Ова команда од последњег тражи да преузме и прикаже записе за пријаву од 00:00 (зора) 26. до времена 00:00 (зора) 27. Ово сужава листу на сесије пријављивања које су се одржале само 26.

Формати времена и датума

Можете да користите времена као и датуме са опцијама -с и -т.

Различити формати времена који се могу користити са последњим опцијама које користе датуме и време су (наводно):

ГГГГММДДххммсс
ГГГГ-ММ-ДД чч:мм:сс
ГГГГ-ММ-ДД чч:мм – секунде су подешене на 00
ГГГГ-ММ-ДД – време је подешено на 00:00:00
хх:мм:сс – датум је постављен на данас
хх:мм – датум ће бити постављен на данас, секунде на 00
Сада
јуче – време је подешено на 00:00:00
данас – време је подешено на 00:00:00
сутра – време је постављено на 00:00:00
+5мин
-5 дана

Зашто ‘наводно’?

Други и трећи формат на листи нису радили током истраживања за овај чланак. Ове команде су тестиране на Убунту, Федора и Мањаро дистрибуцијама. Ово су деривати Дебиан, РедХат и Арцх дистрибуција, респективно. То покрива све главне породице Линук дистрибуције.

last -R -s 2019-05-26 11:00 -t 2019-05-27 13:00

Као што видите, команда није вратила никакве записе.

Коришћење првог формата датума и времена са листе са истим датумом и временом као и претходна команда враћа записе:

last -R -s 20190526110000 -t 20190527130000

Претраживање по релативним јединицама

Такође наводите временске периоде који се мере у минутима или данима, у односу на тренутни датум и време. Овде тражимо записе од пре два дана до пре једног дана.

last -R -s -2days -t -1days

Јуче, данас и сада

Можете користити јуче и сутра као скраћеницу за јучерашњи и данашњи датум.

last -R -s yesterday -t today

Није да ово неће укључивати никакве записе за данас. То је очекивано понашање. Команда тражи записе од датума почетка до датума завршетка. Не укључује записе унутар датума завршетка.

  8 најбољих алата за аналитику е-трговине за трговце

Сада опција је скраћеница за „данас у тренутно време“. Да бисте видели догађаје пријављивања који су се десили од 00:00 (зора) до тренутка када издате команду, користите ову команду:

last -R -s today -t now

Ово ће приказати све догађаје пријаве у овом тренутку, укључујући и оне који су још увек пријављени.

Садашња опција

Опција -п (присутно) вам омогућава да сазнате ко је био пријављен у одређеном тренутку.

Није битно када су се пријавили или одјавили, али ако су били пријављени на рачунар у време које наведете, биће укључени у листу.

Ако наведете време без датума, последње претпоставља да мислите на „данас“.

last -R -p 09:30

Људи који су још увек пријављени (очигледно) немају време за одјаву; они су описани као још увек пријављени. Ако рачунар није поново покренут од времена које сте навели, биће наведен као и даље активан.

Ако користите скраћеницу сада са опцијом -п (пресент), можете сазнати ко је пријављен у време када издате команду.

last -R -p now

Ово је помало дуготрајан начин да се постигне оно што се може постићи коришћењем команде вхо.

Последња команда

Ластб команда заслужује помен. Чита податке из дневника који се зове бтмп. Постоји мало више консензуса о овом имену дневника. ‘б’ означава лоше, али ‘тмп’ део је и даље предмет дебате.

ластб наводи лоше (неуспеле) покушаје пријаве. Прихвата исте опције као и претходни. Пошто су били неуспели покушаји пријаве, сви уноси ће имати трајање 00:00.

Морате користити судо са ластб.

sudo lastb -R

Последња реч о питању

Корисне информације су сазнати ко се пријавио на ваш Линук рачунар, када и одакле. Комбиновањем овога са детаљима неуспешних покушаја пријављивања добијате прве кораке у истраживању сумњивог понашања.