¿Quién, cuándo y de dónde? Las buenas prácticas de seguridad dicen que debe saber quién ha estado accediendo a su computadora Linux. Te mostramos cómo.
Linux y otros sistemas operativos similares a Unix , como MacOS, son muy buenos para iniciar sesión. En algún lugar de las entrañas del sistema, hay un registro de casi todo lo que se pueda imaginar. El archivo de registro que nos interesa se llama wtmp. La «w» podría significar «cuándo» o «quién», nadie parece estar de acuerdo. La parte «tmp» probablemente significa «temporal», pero también podría significar «marca de tiempo».
Lo que sí sabemos es que wtmpes un registro que captura y registra todos los eventos de inicio y cierre de sesión. La revisión de los datos en el wtmpregistro es un paso básico para adoptar un enfoque basado en la seguridad para las tareas de administración de su sistema. Para una computadora familiar típica, puede que no sea tan crítico desde una perspectiva de seguridad, pero es interesante poder revisar su uso combinado de la computadora.
A diferencia de muchos de los archivos de registro basados en texto en Linux, wtmpes un archivo binario. Para acceder a los datos que contiene, necesitamos utilizar una herramienta diseñada para esa tarea.
Esa herramienta es el lastcomando.
El lastcomando lee los datos del wtmpregistro y los muestra en una ventana de terminal.
Si escribe lasty presiona Enter, se mostrarán todos los registros del archivo de registro.
último
Cada registro de wtmpse muestra en la ventana del terminal.
De izquierda a derecha, cada línea contiene:
:0significa que iniciaron sesión en la propia computadora Linux.La última línea nos dice la fecha y hora de la primera sesión registrada en el registro.
Una entrada de inicio de sesión para el usuario ficticio ‘reiniciar’ se ingresa en el registro cada vez que se inicia la computadora. El campo de terminal se reemplaza con la versión del kernel. La duración de la sesión iniciada para estas entradas representa el tiempo de actividad de la computadora.
El uso del lastcomando por sí solo produce un volcado de todo el registro y la mayor parte pasa por la ventana de la terminal. La parte que permanece visible son los primeros datos del registro. Probablemente esto no sea lo que querías ver.
Puede decirle lastque le dé un número específico de líneas de salida. Haga esto proporcionando la cantidad de líneas que desea en la línea de comando. Tenga en cuenta el guión. Para ver cinco líneas, debe escribir -5 y no 5:
último -5
Esto da las primeras cinco líneas del registro, que son los datos más recientes.
La -d opción (Sistema de nombres de dominio) le indica lastque intente resolver las direcciones IP de los usuarios remotos en un nombre de máquina o red.
último -d
No siempre es posible lastconvertir la dirección IP a un nombre de red, pero el comando lo hará cuando sea posible.
Si no está interesado en la dirección IP o el nombre de la red, use la -Ropción (sin nombre de host) para suprimir este campo.
Debido a que esto da una salida más ordenada sin desagradables envolturas, esta opción se ha utilizado en todos los siguientes ejemplos. Si estuviera utilizando lastpara intentar identificar una actividad inusual o sospechosa, no suprimiría este campo.
Puede usar la -sopción (desde) para restringir la salida y mostrar solo los eventos de inicio de sesión que tuvieron lugar desde una fecha específica.
Si solo quisiera ver los eventos de inicio de sesión que tuvieron lugar a partir del 26 de mayo de 2019, usaría el siguiente comando:
último -R -s 2019-05-26
La salida muestra registros con eventos de inicio de sesión que tuvieron lugar desde las 00:00 horas del día especificado hasta los registros más recientes en el archivo de registro.
Puede utilizar -t(hasta) para especificar una fecha de finalización. Esto le permite seleccionar un conjunto de registros de inicio de sesión que tuvo lugar entre dos fechas de interés.
Este comando solicita lastrecuperar y mostrar los registros de inicio de sesión desde las 00:00 (amanecer) del día 26 hasta las 00:00 (amanecer) del día 27. Esto reduce la lista a las sesiones de inicio de sesión que tuvieron lugar solo el día 26.
Puede usar tanto las horas como las fechas con las opciones -sy -t.
Los diferentes formatos de hora que se pueden usar con las last opciones que usan fechas y horas son (supuestamente):
¿Por qué ‘supuestamente’?
El segundo y tercer formato de la lista no funcionaron durante la investigación para este artículo. Estos comandos se probaron en distribuciones de Ubuntu, Fedora y Manjaro. Estos son derivados de las distribuciones Debian, RedHat y Arch, respectivamente. Eso cubre todas las familias principales de distribución de Linux.
último -R -s 2019-05-26 11:00 -t 2019-05-27 13:00
Como puede ver, el comando no devolvió ningún registro.
Usar el primer formato de fecha y hora de la lista con la misma fecha y hora que el comando anterior devuelve registros:
último -R -s 20190526110000 -t 20190527130000
También especifica períodos de tiempo que se miden en minutos o días, en relación con la fecha y hora actuales. Aquí estamos solicitando registros desde hace dos días hasta hace un día.
último -R -s -2días -t -1días
Puede utilizar yesterdayy tomorrowcomo abreviatura de la fecha de ayer y la fecha de hoy.
último -R -s ayer -t hoy
No es que esto no incluya ningún registro para hoy. Ese es el comportamiento esperado. El comando solicita registros desde la fecha de inicio hasta la fecha de finalización. No incluye registros dentro de la fecha de finalización.
La nowopción es una abreviatura de «hoy a la hora actual». Para ver los eventos de inicio de sesión que han tenido lugar desde las 00:00 (amanecer) hasta el momento en que emite el comando, utilice este comando:
último -R -s hoy -t ahora
Esto mostrará todos los eventos de inicio de sesión hasta el momento actual, incluidos los que aún están conectados.
La -popción (presente) le permite averiguar quién inició sesión en un momento determinado.
No importa cuándo iniciaron sesión o salieron, pero si iniciaron sesión en la computadora a la hora que especifique, se incluirán en la lista.
Si especifica una hora sin fecha, se lastsupone que se refiere a «hoy».
último -R -p 09:30
Las personas que todavía están conectadas (obviamente) no tienen tiempo para desconectarse; se describen como still logged in. Si la computadora no se ha reiniciado desde la hora que especifique, aparecerá como still running.
Si usa la nowabreviatura con la -popción (presente), puede averiguar quién está conectado en el momento en que emite el comando.
último -R -p ahora
Esta es una forma algo larga de lograr lo que se puede lograr usando el whocomando .
El lastbcomando merece mención. Lee datos de un registro llamado btmp. Hay un poco más de consenso sobre este nombre de registro. La ‘b’ significa malo, pero la parte ‘tmp’ todavía está sujeta a debate.
lastbenumera los intentos de inicio de sesión incorrectos ( fallidos ). Acepta las mismas opciones que last. Debido a que fueron intentos fallidos de inicio de sesión, todas las entradas tendrán una duración de 00:00.
Debes usar sudocon lastb.
sudo lastb -R
Saber quién ha iniciado sesión en su computadora Linux, y cuándo y de dónde es información útil. La combinación de esto con los detalles de los intentos fallidos de inicio de sesión le proporciona los primeros pasos para investigar un comportamiento sospechoso.
El mundo del gaming ha experimentado un crecimiento exponencial en los últimos años. La…
Stokkete/Shutterstock.com ¿Sigue utilizando una unidad flash USB obsoleta para almacenar sus archivos? ¿Por qué no…
LG Los fabricantes siempre intentan mejorar el rendimiento de imagen de los monitores. Como resultado,…
Patty Chan/Shutterstock.com Si cree en lo que ve en las redes sociales, puede pensar en…
Seksan.TH/Shutterstock.com Los servicios de suscripción como Netflix, Game Pass y Spotify nos permiten consumir tantas…
fatmawati achmad zaenuri/Shutterstock El acceso a Internet, oa cualquier otra red, se rige por la…