GNU/Linux >> Belajar Linux >  >> Linux

Cara Memeriksa Riwayat Masuk Linux

Jika Anda memiliki server Linux, ada kemungkinan Anda memiliki beberapa pengguna yang mengakses sistem. Anda mungkin ingin tahu siapa yang login di sistem Anda, ketika pengguna tertentu login ke sistem Linux. Anda mungkin juga ingin mengetahui dari alamat IP mana sistem Anda diakses.

Bahkan jika Anda tidak memiliki banyak pengguna, seseorang mungkin telah mencoba mengakses server Linux Anda. Percayalah, ini mungkin kedengarannya aneh, tetapi akhir-akhir ini bot mencoba mengakses server Linux Anda. Tidak percaya padaku? Cukup periksa upaya login yang buruk di server Anda untuk melihat apakah seseorang mencoba login ke sistem Anda.

Mari saya tunjukkan cara melihat riwayat login Linux sehingga Anda mengetahui siapa yang mengakses sistem Anda dan dari mana.

Melihat riwayat login Linux

Linux sangat baik dalam menyimpan log dari semua yang terjadi di sistem Anda. Secara alami, ini juga menyimpan log tentang upaya masuk dan masuk. Informasi login disimpan di tiga tempat:

  • /var/log/wtmp – Log sesi login terakhir
  • /var/run/utmp – Log sesi login saat ini
  • /var/log/btmp – Catatan percobaan login yang salah

Mari kita lihat hal-hal ini sedikit lebih detail.

1. Lihat riwayat semua pengguna yang masuk

Untuk melihat riwayat semua login yang berhasil di sistem Anda, cukup gunakan perintah terakhir.

last

Outputnya akan terlihat seperti ini. Seperti yang Anda lihat, ini mencantumkan pengguna, alamat IP dari mana pengguna mengakses sistem, tanggal dan kerangka waktu login. pts/0 berarti server diakses melalui SSH.

abhi     pts/0        202.91.87.115    Wed Mar 13 13:31   still logged in
root     pts/0        202.91.87.115    Wed Mar 13 13:30 - 13:31  (00:00)
servesha pts/0        125.20.97.117    Tue Mar 12 12:07 - 14:25  (02:17)
servesha pts/0        209.20.189.152  Tue Mar  5 12:32 - 12:38  (00:06)
root     pts/0        202.91.87.114    Mon Mar  4 13:35 - 13:47  (00:11)

wtmp begins Mon Mar  4 13:35:54 2019

Baris terakhir dari output memberi tahu Anda kapan file log wtmp dibuat. Ini penting karena jika file wtmp baru saja dihapus, perintah terakhir tidak akan dapat menampilkan riwayat login sebelum tanggal tersebut.

Anda mungkin memiliki riwayat sesi login yang sangat banyak sehingga lebih baik menyalurkan output melalui perintah yang lebih sedikit.

2. Lihat riwayat masuk pengguna tertentu

Jika Anda hanya ingin melihat riwayat login pengguna tertentu, Anda dapat menentukan nama pengguna dengan perintah terakhir.

last <username>

Anda akan melihat informasi login hanya dari pengguna yang dipilih:

last servesha
servesha pts/0        125.20.97.117    Tue Mar 12 12:07 - 14:25  (02:17)
servesha pts/0        209.20.189.152  Tue Mar  5 12:32 - 12:38  (00:06)

wtmp begins Mon Mar  4 13:35:54 2019

3. Tampilkan alamat IP dalam riwayat masuk alih-alih nama host

Anda tidak dapat melihatnya di output sebelumnya tetapi secara default, perintah terakhir menunjukkan nama host alih-alih alamat IP pengguna. Jika Anda berada di sub-jaringan, Anda mungkin hanya akan melihat nama host.

Anda dapat memaksa untuk menampilkan alamat IP dari pengguna yang login sebelumnya dengan opsi -i.

last -i

4. Tampilkan hanya N login terakhir

Jika sistem Anda memiliki waktu aktif yang baik, mungkin riwayat login Anda akan sangat besar. Seperti yang saya sebutkan sebelumnya, Anda dapat menggunakan perintah less atau perintah tampilan file lainnya seperti head atau tail.

Perintah terakhir memberi Anda opsi untuk menampilkan hanya sejumlah riwayat masuk tertentu.

last -N

Ganti saja N dengan angka yang Anda inginkan. Anda juga dapat menggabungkannya dengan nama pengguna.

5. Lihat semua upaya login yang salah di server Linux Anda

Sekarang sampai pada bagian penting:memeriksa upaya login yang buruk di server Anda.

Anda dapat melakukannya dengan dua cara. Anda dapat menggunakan perintah terakhir dengan file log btmp:

last -f /var/log/btmp

atau Anda dapat menggunakan perintah lastb:

lastb

Kedua perintah ini akan menghasilkan hasil yang sama. Lastb sebenarnya adalah tautan ke perintah terakhir dengan file yang ditentukan.

root     ssh:notty    218.92.0.158     Wed Mar 13 14:34 - 14:34  (00:00)
sindesi  ssh:notty    59.164.69.10     Wed Mar 13 14:34 - 14:34  (00:00)
root     ssh:notty    218.92.0.158     Wed Mar 13 14:34 - 14:34  (00:00)
sindesi  ssh:notty    59.164.69.10     Wed Mar 13 14:34 - 14:34  (00:00)
root     ssh:notty    218.92.0.158     Wed Mar 13 14:34 - 14:34  (00:00)

Login yang buruk bisa jadi merupakan kata sandi yang salah yang dimasukkan oleh pengguna yang sah. Bisa juga bot mencoba memaksa sandi Anda.

Anda harus menganalisis di sini dan melihat apakah Anda mengenali IP di log. Jika ada terlalu banyak upaya login dari IP tertentu dengan root pengguna, mungkin seseorang mencoba menyerang sistem Anda dengan cara bruteforcing.

Anda harus menggunakan Fail2Ban untuk melindungi server Anda dalam kasus seperti itu. Fail2Ban akan melarang IP tersebut dari server Anda dan dengan demikian memberikan server Anda lapisan perlindungan ekstra.

Kesimpulan

Saya harap tutorial ini mengajarkan Anda untuk melihat riwayat login di Linux dan sekarang Anda dapat menggunakan pengetahuan ini untuk mengelola dan melindungi sistem Linux Anda dengan lebih baik.

Jika Anda menyukai artikel ini, silakan bagikan di media sosial dan berlangganan buletin kami untuk lebih banyak tutorial terkait Linux.


Linux

  1. Cara memeriksa versi Redhat

  2. Cara memeriksa upaya login yang gagal atau buruk di Linux

  3. Bagaimana cara memeriksa kata sandi dengan Linux?

  1. Cara menggunakan perintah history di Linux

  2. Cara Memeriksa Zona Waktu di Linux

  3. Bagaimana cara mengekstrak riwayat login?

  1. Cara Memeriksa Suhu CPU di Linux

  2. Cara Menggunakan Perintah sejarah Linux

  3. Cara Memeriksa Ruang Disk di Linux