Jika Anda bekerja di perusahaan menengah hingga besar, kemungkinan besar Anda bekerja dengan banyak administrator sistem.
Saat Anda melakukan tugas sysadmin Anda, beberapa pengguna mungkin mencoba terhubung ke server Anda untuk melakukan tugas harian mereka.
Namun, dalam beberapa kasus, Anda mungkin menemukan bahwa ada sesuatu yang berubah di server Anda. Akibatnya, Anda bertanya-tanya siapa yang melakukan perubahan .
Beruntung bagi Anda, ada banyak cara untuk menemukan siapa yang terakhir masuk ke server Anda.
Dalam tutorial ini, Anda akan mempelajari tentang berbagai perintah berguna yang dapat Anda gunakan untuk memeriksa login terakhir di komputer Anda.
Temukan Login Terakhir menggunakan terakhir
Cara termudah untuk menemukan login terakhir di komputer Linux Anda adalah dengan menjalankan perintah "terakhir" tanpa opsi. Dengan menggunakan perintah ini, Anda akan disajikan dengan semua login terakhir yang dilakukan di komputer.
$ last
# To check the last ten login attempts, you can pipe it with "head"
$ last | head -n 10
Seperti yang Anda lihat, secara default, output terpotong:pengguna "devconnected" hanya ditampilkan sebagai "devconne" hanya dengan menggunakan perintah terakhir.
Jika Anda menemukan login terakhir menggunakan nama pengguna dan hostname lengkap , Anda harus menambahkan “-w ” atau “–nama lengkap “.
$ last -w
$ last --fullnames
Kolom Perintah Terakhir
Saat melihat perintah terakhir, hasilnya bisa sedikit membingungkan. Ada banyak kolom tetapi kami tidak tahu persis apa artinya.
Pertama-tama, ada perbedaan antara login pengguna dan reboot.
Seperti yang Anda lihat, login pengguna dimulai dengan nama pengguna yang terhubung ke komputer . Di sisi lain, log “boot ulang” jelas dimulai dengan kata kunci “boot ulang” .
Kolom Masuk Pengguna
Untuk log pengguna , arti dari kolom yang berbeda adalah sebagai berikut :
- Nama pengguna :nama pengguna yang terhubung ke komputer;
- TTY :indeks TTY yang digunakan oleh pengguna untuk terhubung ke komputer. “:0” menunjukkan bahwa koneksi bersifat lokal dan Anda dapat menggunakan perintah “tty” untuk menemukan perangkat yang digunakan oleh pengguna;
$ tty
- Nama tampilan :karena X digunakan sebagai server tampilan pada setiap mesin, X dapat menggunakan tampilan lokal (:0, :1 dan seterusnya) atau tampilan jarak jauh. Jika Anda tertarik untuk menjalankan aplikasi grafis dari jarak jauh, Anda dapat membaca panduan kami tentang protokol X;
- Jam login :memulai server sangat berbeda dengan masuk ke dalamnya. Jam ini mewakili waktu di mana kata sandi benar-benar disediakan di antarmuka;
- Status masuk :apakah Anda “masih login” atau “down” dengan durasi sesi.
Misalnya, dalam contoh berikut, durasi sesi adalah dua belas menit.
Kolom reboot palsu
Pada setiap reboot, sistem Anda menambahkan baris baru ke daftar reboot saat ini yang dilakukan di komputer Anda.
Baris khusus tersebut, dimulai dengan “boot ulang “, memiliki kolom berikut :
- Mulai ulang :menentukan bahwa ini bukan login melainkan reboot sistem;
- Detail tentang boot ulang :dalam hal ini sebenarnya adalah "boot sistem" yang berarti bahwa sistem baru saja dimulai;
- Versi kernel :versi kernel dimuat saat boot sistem. Mungkin berbeda jika Anda meng-host versi kernel yang berbeda pada partisi boot Anda.
- Jam booting :jam mewakili waktu boot sistem. Ini bisa diikuti dengan indikasi "masih berjalan" atau jam akhir diikuti dengan durasi sesi dalam tanda kurung.
Sekarang setelah Anda melihat bagaimana Anda dapat membuat daftar semua login terakhir di server Anda, mari kita lihat apakah Anda tertarik dengan upaya login yang salah.
Temukan Login Terakhir Berdasarkan Tanggal
Dalam beberapa kasus, Anda mungkin tertarik dengan login yang dilakukan sejak atau hingga tanggal tertentu di masa lalu, atau dalam lima menit terakhir.
Untuk menemukan login terakhir menurut tanggal, jalankan perintah “terakhir” dengan perintah “–sejak” dan tentukan tanggal untuk menemukan login terakhir.
Demikian pula, Anda dapat menggunakan perintah “–sampai” untuk menemukan upaya masuk yang dilakukan hingga tanggal tertentu di masa lalu.
$ last --since <date>
$ last --until <date>Jadi tanggal berapa yang bisa Anda gunakan untuk mencari?
Format tanggal ditentukan di halaman dokumentasi terakhir.
Sebagai contoh, katakanlah Anda ingin menemukan semua upaya login dalam dua hari terakhir, Anda akan menjalankan perintah berikut
$ last --since -2days
Demikian pula, jika Anda ingin menemukan semua upaya login yang dilakukan lima hari yang lalu, Anda akan menjalankan perintah berikut
$ last --until -5daysKarena diagram sering kali membantu lebih dari sekadar kata-kata, berikut adalah cara untuk memahami “–sejak ” dan “–sampai ” pilihan.
Temukan Upaya Masuk Terakhir yang Buruk menggunakan lastb
Untuk menemukan upaya login terakhir yang buruk di server Linux Anda, Anda harus menggunakan "lastb" dengan hak administrator.
$ sudo lastbJika Anda tidak yakin tentang cara memeriksa hak tersebut, pastikan untuk membaca panduan khusus kami .
Seperti yang Anda lihat, outputnya sangat mirip dengan yang ada di “terakhir ” perintah :nama pengguna yang dicoba, perangkat yang digunakan serta waktu percobaan.
Dalam hal ini, durasi “(00:00) ” akan diperbaiki karena upaya koneksi tidak memiliki durasi sama sekali.
Perhatikan bahwa jalur perangkat dapat menampilkan “ssh:notty” jika upaya login dilakukan dari terminal SSH.
Memeriksa file auth.log
Atau, Anda dapat memeriksa konten file “/var/log/auth.log” untuk melihat semua upaya yang gagal di server Anda.
$ tail -f -n 100 /var/log/auth.log | grep -i failed
Temukan Login SSH Terakhir di Linux
Untuk menemukan login SSH terakhir yang dilakukan pada mesin Linux Anda, Anda cukup memeriksa konten “/var/log/auth.log” dan menyalurkannya dengan “grep” untuk menemukan log SSH.
$ tail -f -n 100 /var/log/auth.log | grep -i sshd
Atau, Anda dapat memeriksa log layanan SSH dengan menjalankan “journalctl ” perintah diikuti dengan “-u ” opsi untuk “unit ” dan nama layanan .
$ sudo journalctl -r -u ssh | grep -i failed
Catatan :tertarik dengan layanan cantuman dan status mereka di server Anda? Berikut adalah panduan tentang mendaftarkan layanan Anda di Linux.
Jika Anda tidak melihat log apa pun yang terkait dengan layanan SSH, itu mungkin terkait dengan file konfigurasi SSH Anda, yaitu ke “PrintLastLog ” pilihan.
$ cat /etc/ssh/sshd_config | grep PrintLastLog
Jika opsi ini disetel ke "Tidak" di server Anda dan Anda ingin mencetak log terakhir, pastikan untuk menghapus komentar pada baris dengan nilai "ya". Jangan lupa untuk me-restart server SSH Anda setelah itu.
$ sudo nano /etc/ssh/sshd_config
PrintLastLog yes
$ sudo systemctl restart ssh
$ sudo systemctl status sshBesar! Anda telah mempelajari cara menemukan log SSH terakhir di komputer Anda.
Mencantumkan Login Terakhir Pengguna di Linux
Untuk menemukan waktu login terakhir untuk semua pengguna di mesin Linux Anda, Anda dapat menggunakan perintah "lastlog" tanpa opsi. Secara default, Anda akan disajikan dengan daftar semua pengguna dengan upaya masuk terakhir mereka.
Atau, Anda dapat menggunakan “-u ” opsi untuk “pengguna ” dan tentukan pengguna yang Anda cari.
$ lastlog
$ lastlog -u <user>
Seperti yang Anda lihat, tanpa opsi, perintah akan mengembalikan daftar semua akun di mesin Anda, bahkan akun root dan sistem.
Kesimpulan
Dalam tutorial ini, Anda mempelajari bagaimana Anda dapat dengan mudah menemukan upaya login terakhir yang dilakukan di komputer Linux.
Baik upaya tersebut dilakukan melalui shell login atau sesi SSH, kini Anda tahu file mana yang harus diperiksa dan alat mana yang digunakan untuk mengambilnya.
Ingatlah bahwa Anda dapat memeriksa file tersebut tetapi Anda juga dapat memplotnya pada solusi dasbor seperti Kibana, berikut adalah panduan tentang cara mencapainya.
Jika Anda tertarik dengan Administrasi Sistem Linux , kami memiliki bagian lengkap yang didedikasikan untuk itu di situs web, jadi pastikan untuk melihatnya!