Az utolsó parancs használata Linuxon

Ki, mikor és honnan? A helyes biztonsági gyakorlatok szerint tudnia kell, hogy ki fér hozzá a Linux számítógépéhez. Megmutatjuk, hogyan.

A wtmp fájl

A Linux és más Unix-szerű operációs rendszerek, mint például a MacOS, nagyon jók a naplózásban. Valahol a rendszer belsejében van egy napló mindenről, ami csak eszébe jut. A minket érdeklő naplófájl neve wtmp. A „w” jelentése „mikor” vagy „ki” – úgy tűnik, senki sem ért egyet. A „tmp” rész valószínűleg az „ideiglenes”, de az „időbélyeg” kifejezést is jelentheti.

Tudjuk, hogy a wtmp egy napló, amely minden bejelentkezési és kijelentkezési eseményt rögzít és rögzít. A wtmp naplóban lévő adatok áttekintése alapvető lépés a rendszergazdai feladatok biztonságszemléletű megközelítéséhez. Egy tipikus családi számítógép esetében lehet, hogy ez nem annyira kritikus biztonsági szempontból, de érdekes áttekinteni a számítógép együttes használatát.

A Linux számos szövegalapú naplófájljával ellentétben a wtmp bináris fájl. A benne lévő adatok eléréséhez egy erre a feladatra tervezett eszközt kell használnunk.

Ez az eszköz az utolsó parancs.

Az utolsó parancs

Az utolsó parancs beolvassa az adatokat a wtmp naplóból, és megjeleníti azokat egy terminálablakban.

Ha utoljára írja be, és nyomja meg az Enter billentyűt, akkor ez megtörténik megjeleníti az összes rekordot a naplófájlból.

last

Minden wtmp rekord megjelenik a terminál ablakában.

Balról jobbra minden sor a következőket tartalmazza:

A bejelentkezett személy felhasználóneve.
A terminál, amelybe bejelentkeztek. A :0 terminálbejegyzés azt jelenti, hogy magán a Linuxos számítógépen jelentkeztek be.
Annak a gépnek az IP-címe, amelyre bejelentkeztek.
A bejelentkezési idő és dátum bélyegzője.
Az ülés időtartama.

  Az Echo gombok párosítása az Amazon Echo-val

Az utolsó sor a naplóban rögzített legkorábbi munkamenet dátumát és időpontját jelzi.

A fiktív felhasználó „újraindítás” bejelentkezési bejegyzése minden alkalommal bekerül a naplóba, amikor a számítógépet újraindítják. A terminálmező helyére a kernel verziója kerül. Ezen bejegyzések bejelentkezett munkamenetének időtartama a számítógép üzemidejét jelenti.

Meghatározott számú sor megjelenítése

Az utolsó parancs használata önmagában a teljes napló kiíratását eredményezi, és a legtöbb zizeg a terminálablak mellett. A látható rész a legkorábbi adat a naplóban. Valószínűleg nem ezt akartad látni.

Megadhatja, hogy az utolsó megadja a kimeneti sorok számát. Ehhez adja meg a kívánt sorok számát a parancssorban. Jegyezze meg a kötőjelet. Öt sor megtekintéséhez -5-öt kell begépelnie, nem 5-öt:

last -5

Ez adja az első öt sort a naplóból, amely a legfrissebb adat.

A távoli felhasználók hálózatneveinek megjelenítése

A -d (Domain Name System) kapcsoló utolsóként jelzi, hogy megpróbálja a távoli felhasználók IP-címét gép- vagy hálózatnévvé feloldani.

last -d

Nem mindig tudja az IP-címet hálózatnévvé alakítani, de a parancs megteszi, amikor csak tudja.

IP-címek és hálózatnevek elrejtése

Ha nem érdekli az IP-cím vagy a hálózat neve, használja a -R (nincs gazdagépnév) opciót a mező letiltásához.

Mivel ez ügyesebb kimenetet ad csúnya körítések nélkül, ezt a beállítást az összes következő példában használták. Ha az utolsót használja a szokatlan vagy gyanús tevékenység azonosítására, akkor nem zárná ki ezt a mezőt.

Felvételek dátum szerint kiválasztása

A -s (since) opcióval korlátozhatja a kimenetet, hogy csak egy adott dátum óta történt bejelentkezési eseményeket jelenítse meg.

Ha csak azokat a bejelentkezési eseményeket szeretné látni, amelyek 2019. május 26-tól történtek, akkor használja a következő parancsot:

last -R -s 2019-05-26

A kimenet azokat a rekordokat jeleníti meg a bejelentkezési eseményekkel, amelyek a megadott napon 00:00 órától történtek, egészen a naplófájl legújabb rekordjaiig.

  Pénznem konvertálása a Google Táblázatokban

Keresés a befejezési dátumig

A -t (amíg) segítségével megadhat egy befejezési dátumot. Ez lehetővé teszi, hogy kiválasszon egy olyan bejelentkezési rekordot, amely két érdekes dátum között történt.

Ez a parancs utoljára kéri a bejelentkezési rekordok lekérését és megjelenítését 26-án 00:00-tól (hajnal) 27-én 00:00-ig (hajnal). Ez leszűkíti a listát azokra a bejelentkezési munkamenetekre, amelyekre csak 26-án került sor.

Idő és dátum formátumok

Az -s és -t opciókkal az időket és a dátumokat is használhatja.

A különböző időformátumok, amelyek az utolsó dátumot és időt használó opciókkal használhatók (állítólag):

YYYYMMDDhhmmss
ÉÉÉÉ-HH-NN óó:pp:pp
ÉÉÉÉ-HH-NN óó:pp – a másodpercek 00-ra vannak állítva
ÉÉÉÉ-HH-NN – az idő 00:00:00-ra van állítva
hh:mm:ss – a dátum a mai napra van állítva
óó:pp – a dátum a mai napra, a másodpercek 00-ra lesznek állítva
Most
tegnap – az idő 00:00:00-ra van állítva
ma – az idő 00:00:00-ra van állítva
holnap – az idő 00:00:00-ra van állítva
+5 perc
-5 nap

Miért „állítólag”?

A lista második és harmadik formátuma nem működött a cikk kutatása során. Ezeket a parancsokat Ubuntu, Fedora és Manjaro disztribúciókon tesztelték. Ezek a Debian, RedHat és Arch disztribúciók származékai. Ez lefedi a Linux disztribúció összes fő családját.

last -R -s 2019-05-26 11:00 -t 2019-05-27 13:00

Mint látható, a parancs egyáltalán nem adott vissza rekordot.

A lista első dátum- és időformátumának használata ugyanazzal a dátummal és időponttal, mint az előző parancsnál, rekordokat ad vissza:

last -R -s 20190526110000 -t 20190527130000

Keresés relatív mértékegységek szerint

Megadhat olyan időszakokat is, amelyeket percekben vagy napokban mérnek, az aktuális dátumhoz és időhöz képest. Itt két nappal ezelőtti és egy nappal ezelőtti rekordokat kérünk.

last -R -s -2days -t -1days

Tegnap, ma és most

Használhatja a tegnapot és a holnapot a tegnapi és a mai dátum rövidítéseként.

last -R -s yesterday -t today

Nem mintha ez nem tartalmazza a mai rekordokat. Ez az elvárt viselkedés. A parancs a kezdő dátumtól a befejezés dátumáig kér rekordokat. Nem tartalmazza a befejezési dátumon belüli rekordokat.

  Hogyan válasszuk ki a szinkronizálandó adatokat a Chrome-ban

A most opció a „ma a jelenlegi időben” rövidítése. A 00:00 (hajnal) óta a parancs kiadásáig lezajlott bejelentkezési események megtekintéséhez használja ezt a parancsot:

last -R -s today -t now

Ez megjeleníti az összes bejelentkezési eseményt az aktuális időpontig, beleértve azokat is, amelyek még be vannak jelentkezve.

A jelenlegi opció

A -p (jelen) opció lehetővé teszi, hogy megtudja, ki volt bejelentkezve egy adott időpontban.

Nem mindegy, hogy mikor jelentkeztek be vagy ki, de ha az Ön által megadott időpontban bejelentkeztek a számítógépbe, akkor bekerülnek a listába.

Ha az utolsó dátum nélküli időpontot ad meg, azt feltételezi, hogy „ma”-ra gondol.

last -R -p 09:30

Azoknak, akik még mindig bejelentkeztek (nyilvánvalóan), nincs kijelentkezési idejük; a leírás szerint még mindig bejelentkezve vannak. Ha a számítógépet a megadott időpont óta nem indították újra, akkor továbbra is futóként jelenik meg.

Ha a most rövidítést használja a -p (jelen) kapcsolóval, akkor megtudhatja, hogy ki van bejelentkezve a parancs kiadásakor.

last -R -p now

Ez egy kissé hosszadalmas módja annak, hogy elérjük azt, amit a who paranccsal el lehet érni.

Az utolsó parancs

A lastb parancs említést érdemel. Adatokat olvas ki a btmp nevű naplóból. Kicsit több konszenzus van ezzel a naplónévvel kapcsolatban. A „b” a rosszat jelenti, de a „tmp” rész még mindig vita tárgyát képezi.

A lastb felsorolja a rossz (sikertelen) bejelentkezési kísérleteket. Ugyanazokat a lehetőségeket fogadja el, mint legutóbb. Mivel sikertelen bejelentkezési kísérletek voltak, mindegyik bejegyzés időtartama 00:00 lesz.

A sudo-t a lastb-vel kell használni.

sudo lastb -R

Az utolsó szó az ügyben

Hasznos információ, ha tudjuk, hogy ki, mikor és honnan jelentkezett be a Linux számítógépére. Ha ezt kombinálja a sikertelen bejelentkezési kísérletek részleteivel, akkor megteheti az első lépéseket a gyanús viselkedés kivizsgálásához.