- Linux количество неудачных попыток
- Примеры использования
- Создание файла журнала
- Вывод информации о неудачных попытках входа в систему
- Вывод информации о неудачных попытках входа в систему за выбранное время
- Как узнать или сбросить количество неудачных попыток входа в Astra Linux
- Как проверить историю входа в Linux
- Просмотр истории входа в Linux
- 1. Просмотр истории всех зарегистрированных пользователей
- 2. Просмотр истории входа определенного пользователя
- 3. Отображать IP-адреса в истории входа вместо имени хоста
- 4. Отображать только последние N логинов
- 5. Просмотр всех неудачных попыток входа на ваш сервер Linux
Linux количество неудачных попыток
Команда lastb представлена символьной ссылкой на утилиту last и позволяет задействовать данную утилиту для получения информации о неудачных попытках входа в систему. Утилита читает файл журнала /var/log/btmp и выводит информацию об именах пытавшихся войти в систему пользователей, использованных файлах терминалов, а также времени осуществления попыток входа.
Несмотря на всю очевидную полезность данной утилиты, она практически не используется обычными пользователями — современные окружения рабочих столов не записывают данные о неудачных попытках входа в систему в читаемый данной утилитой файл, а отправляют соотвествующую информацию напрямую в подсистему аудита безопасности (посредством Netlink-сокета), где она успешно теряется, так как для ее обработки должны использоваться системы обнаружения вторжений, которые устанавливаются обычными пользователями.
Базовый синтаксис команды выглядит следующим образом:
# lastb [параметры] [имя-пользователя] [имя-терминала]
Утилита поддерживает те же параметры, что и утилита last, причем многие из этих параметров предназначены для форматирования вывода. Наиболее важными параметрами являются произвольный числовой параметр, устанавливающий количество строк для вывода, а также параметры -s и -t, позволяющие выводить информацию о неудачных попытках входа в систему за заданный интервал времени.
Примеры использования
Создание файла журнала
Если файла журнала с указанным выше именем не существует, то журналирование неудачных попыток входа в систему попросту не осуществляется. Убедиться в отсутствии файла достаточно просто — нужно использовать команду без каких-либо параметров:
$ sudo lastb
lastb: невозможно открыть /var/log/btmp: Нет такого файла или каталога
В случае вывода аналогичного сообщения об ошибке пользователь может создать данный файл самостоятельно, просто использовав следующие команды:
$ sudo touch /var/log/btmp
$ sudo chown root:utmp /var/log/btmp
$ sudo chown 660 /var/log/btmp
Для проверки корректности создания файла достаточно снива использовать команду без каких-либо параметров:
btmp begins Sat May 9 18:11:12 2020
Очевидно, что файл журнала был успешно создан и читается утилитой. Данный файл может читаться лишь суперпользователем, поэтому команда lastb и вызывается с привилегиями данного пользователя.
Вывод информации о неудачных попытках входа в систему
Для вывода информации о неудачных попытках входа в систему достаточно использовать команду без каких-либо дополнительных параметров за исключением параметра для ограничения количества выводимых строк:
btmp begins Sat May 9 18:11:12 2020
Журнал пуст. Попробуем сгенерировать запись:
Неверное имя пользователя
layla имя пользователя: ^C
Теперь снова проверим содержимое файла журнала:
$ sudo lastb
alex pts/0 Sat May 9 18:11 — 18:11 (00:00)
btmp begins Sat May 9 18:11:34 2020
Очевидно, что информация о неудачной попытке входа в систему успешно сохранена в файле.
Вывод информации о неудачных попытках входа в систему за выбранное время
Для указания интервала времени, в рамках которого были осуществлены интересующие вас неудачные попытки входа в систему, следует использовать параметры -s и -t. Например, посмотрим информацию о событиях за неделю (от 7 дней назад до текущего момента):
$ sudo lastb -s-7days -tnow
alex pts/0 Sat May 9 18:11 — 18:11 (00:00)
btmp begins Sat May 9 18:11:34 2020
В результате будет выведена информация за неделю. Также утилита выводит информацию о дате начала ведения журнала.
Как узнать или сбросить количество неудачных попыток входа в Astra Linux
Мануал
Пользователь не может произвести вход, но уверяет что помнит пароль?
Скорее всего система заблокировала его после нескольких неудачных попыток входа. ( в зависимости от политики безопасности вашей системы)
Давайте рассмотрим на примере операционной системы Astra Linux
Итак, необходимо зайти на сервер под учетном записью root и открыть терминал fly.
где username – имя вашего пользователя
Чтобы сбросить количество неудачных входов в систему выполните:
где username – имя вашего пользователя
Вывод будет примерное следующим:
где user1 – имя вашего пользователя, 2051 – UID , 0 – количество неудачных попыток входа
Пожалуйста, не спамьте и никого не оскорбляйте. Это поле для комментариев, а не спамбокс. Рекламные ссылки не индексируются!
- Аудит ИБ (49)
- Вакансии (12)
- Закрытие уязвимостей (105)
- Книги (27)
- Мануал (2 306)
- Медиа (66)
- Мероприятия (39)
- Мошенники (23)
- Обзоры (820)
- Обход запретов (34)
- Опросы (3)
- Скрипты (114)
- Статьи (352)
- Философия (114)
- Юмор (18)
Anything in here will be replaced on browsers that support the canvas element
OpenVPN Community Edition (CE) – это проект виртуальной частной сети (VPN) с открытым исходным кодом. Он создает защищенные соединения через Интернет с помощью собственного протокола безопасности, использующего протокол SSL/TLS. Этот поддерживаемый сообществом проект OSS (Open Source Software), использующий лицензию GPL, поддерживается многими разработчиками и соавторами OpenVPN Inc. и расширенным сообществом OpenVPN. CE является бесплатным для […]
Что такое 404 Frame? Большинство инструментов для взлома веб-сайта находятся в 404 Frame. Итак, что же представляют собой команды? Вы можете отдавать команды, используя повседневный разговорный язык, поскольку разработчики не хотели выбирать очень сложную систему команд. Команды Команды “help” / “commands” показывают все команды и их назначение. Команда “set target” – это команда, которая должна […]
В этой заметке вы узнаете о блокировке IP-адресов в Nginx. Это позволяет контролировать доступ к серверу. Nginx является одним из лучших веб-сервисов на сегодняшний день. Скорость обработки запросов делает его очень популярным среди системных администраторов. Кроме того, он обладает завидной гибкостью, что позволяет использовать его во многих ситуациях. Наступает момент, когда необходимо ограничить доступ к […]
Знаете ли вы, что выполняется в ваших контейнерах? Проведите аудит своих образов, чтобы исключить пакеты, которые делают вас уязвимыми для эксплуатации Насколько хорошо вы знаете базовые образы контейнеров, в которых работают ваши службы и инструменты? Этот вопрос часто игнорируется, поскольку мы очень доверяем им. Однако для обеспечения безопасности рабочих нагрузок и базовой инфраструктуры необходимо ответить […]
Одной из важнейших задач администратора является обеспечение обновления системы и всех доступных пакетов до последних версий. Даже после добавления нод в кластер Kubernetes нам все равно необходимо управлять обновлениями. В большинстве случаев после получения обновлений (например, обновлений ядра, системного обслуживания или аппаратных изменений) необходимо перезагрузить хост, чтобы изменения были применены. Для Kubernetes это может быть […]
Как проверить историю входа в Linux
Добавить в избранное
Е сли у вас есть сервер Linux, есть вероятность, что к системе подключено несколько пользователей. Возможно, вы захотите узнать, когда конкретный пользователь вошел в систему Linux. Вы также можете узнать, с какого IP-адреса была получена доступ к вашей системе.
Даже если у вас нет нескольких пользователей, кто-то, вероятно, пытался получить доступ к вашему серверу Linux. Поверьте нам, это может звучать странно, но в наши дни боты пытаются получить доступ к вашим серверам Linux. Не верите нам? Просто проверьте неудачные попытки входа на ваш сервер, чтобы увидеть, пытался ли кто-нибудь войти в вашу систему.
Позвольте нам показать вам, как просмотреть историю входа в Linux, чтобы вы знали, кто и откуда обращается к вашей системе.
Просмотр истории входа в Linux
Linux очень хорошо ведет журналы всего, что происходит в вашей системе. Вполне естественно, что он также хранит журналы о входе и попытках входа. Информация для входа хранится в трех местах:
- /var/log/wtmp — Логи последних сеансов входа
- /var/run/utmp — Журналы текущих сеансов входа
- /var/log/btmp — Журналы неудачных попыток входа
Давайте посмотрим на эти вещи немного подробнее.
1. Просмотр истории всех зарегистрированных пользователей
Чтобы просмотреть историю всех успешных входов в систему, просто используйте команду last.
Вывод должен выглядеть следующим образом. Как видите, в нем перечислены пользователи, IP-адрес, с которого пользователь получил доступ к системе, дата и время входа в систему. pts/0 означает доступ к серверу через SSH.
alex pts/0 123.34.87.122 Wed Mar 14 15:32 still logged in root pts/0 123.34.87.122 Wed Mar 14 14:45 - 15:45 (01:00) servesha pts/0 125.20.97.117 Tue Mar 13 21:55 - 23:45 (01:50) admin pts/0 209.20.189.152 Tue Mar 12 10:11 - 14:27 (04:16) root pts/0 123.34.87.114 Mon Mar 10 17:23 - 19:34 (02:11) wtmp begins Mon Mar 5 23:22:10 2019
Последняя строка вывода сообщает вам, когда был создан файл журнала wtmp. Это важно, потому что если файл wtmp был удален недавно, последняя команда не сможет отобразить историю входов в систему до этой даты.
У вас может быть огромная история сеансов входа в систему, поэтому лучше передать вывод с помощью команды less.
2. Просмотр истории входа определенного пользователя
Если вы просто хотите просмотреть историю входа определенного пользователя, вы можете указать имя пользователя с помощью последней команды.
Вы увидите информацию для входа только выбранного пользователя:
last mustdie mustdie pts/0 125.20.97.117 Tue Mar 14 13:07 - 15:25 (02:17) mustdie pts/0 209.20.189.152 Tue Mar 13 13:32 - 13:38 (00:06) wtmp begins Mon Mar 5 23:22:10 2019
3. Отображать IP-адреса в истории входа вместо имени хоста
Вы не могли видеть это в предыдущем выводе, но по умолчанию последняя команда показывает имя хоста вместо IP-адреса пользователя. Если вы находитесь в подсети, вы, вероятно, увидите только имена хостов.
Вы можете принудительно отобразить IP-адреса ранее зарегистрированных пользователей с помощью опции -i.
4. Отображать только последние N логинов
Если у вашей системы хорошее время работы, возможно, ваша история входа будет огромной. Как мы упоминали ранее, вы можете использовать команду less или другие команды просмотра файлов, такие как head или tail.
Последняя команда дает вам возможность отображать только определенное количество истории входа.
Просто замените N на номер, который вы хотите. Вы также можете комбинировать его с именем пользователя.
5. Просмотр всех неудачных попыток входа на ваш сервер Linux
Теперь важная часть: проверка неудачных попыток входа на ваш сервер.
Вы можете сделать это двумя способами. Вы можете использовать последнюю команду с файлом журнала btmp:
или вы можете использовать команду lastb:
Обе эти команды дадут одинаковый результат. Lastb на самом деле является ссылкой на последнюю команду с указанным файлом.
root ssh:notty 92.63.104.221 Sat Mar 2 13:44 - 13:44 (00:00) root ssh:notty 188.120.252.89 Sat Mar 2 13:43 - 13:43 (00:00) root ssh:notty 188.120.252.89 Sat Mar 2 13:43 - 13:43 (00:00) root ssh:notty 188.120.252.89 Sat Mar 2 13:42 - 13:42 (00:00) bublick7 ssh:notty 188.120.252.89 Sat Mar 2 13:42 - 13:42 (00:00)
Плохие логины могут быть неверным паролем, введенным законным пользователем. Это также может быть бот, пытающийся взломать ваш пароль.
Вы должны проанализировать здесь и посмотреть, узнаете ли вы IP-адреса в журнале. Если было слишком много попыток входа в систему с определенного IP-адреса с пользователем root, возможно, кто-то пытается атаковать вашу систему с помощью брутфорса.
Вы должны развернуть Fail2Ban для защиты вашего сервера в таких случаях. Fail2Ban забанит такие IP-адреса с вашего сервера и тем самым предоставит вашему серверу дополнительный уровень защиты.
Мы надеемся, что эта статья научит вас просматривать историю входа в Linux, и теперь вы можете использовать эти знания для лучшего управления и защиты вашей системы Linux.
Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.