Linux: Кто и когда заходил на сервер? Аудит сессий с last и lastlog
Расследование инцидентов и регулярный аудит безопасности начинаются с простого вопроса: кто получал доступ к системе? В Linux для этого есть два мощных, но часто недооцененных инструмента.
last — история успешных входов
Эта команда читает файл /var/log/wtmp и показывает, кто, когда и с какого IP-адреса заходил в систему.
Bash
Обращайте внимание на входы с незнакомых IP и сессии в нерабочее время.
lastlog — когда каждый пользователь логинился в последний раз
Эта команда проверяет файл /var/log/lastlog и показывает отчет по последнему входу для каждого пользователя в системе.
Bash
Это идеальный способ найти старые, заброшенные учетные записи, которые являются потенциальной угрозой безопасности.
Взгляд архитектора:
Логи доступа — это не просто текст, это данные для системы безопасности. Настоящий архитектор не смотрит их вручную. Он настраивает автоматический сбор этих логов в централизованную систему (SIEM, ELK Stack) и создает правила для алертов — например, "уведомить, если root залогинился не из консоли" или "уведомить о входе с IP-адреса, который не числится в белом списке".
#linux #security #audit #logging #lastlog #команды
Расследование инцидентов и регулярный аудит безопасности начинаются с простого вопроса: кто получал доступ к системе? В Linux для этого есть два мощных, но часто недооцененных инструмента.
last — история успешных входов
Эта команда читает файл /var/log/wtmp и показывает, кто, когда и с какого IP-адреса заходил в систему.
Bash
# Показать последние 15 логинов
last -n 15
# Показать полные IP-адреса и время
last -F -i
# Показать, кто был в системе в определенное время
last -t 2025-10-15T12:00:00
Обращайте внимание на входы с незнакомых IP и сессии в нерабочее время.
lastlog — когда каждый пользователь логинился в последний раз
Эта команда проверяет файл /var/log/lastlog и показывает отчет по последнему входу для каждого пользователя в системе.
Bash
# Показать отчет для всех пользователей
lastlog
# Найти пользователей, которые не логинились больше 90 дней
lastlog -b 90
Это идеальный способ найти старые, заброшенные учетные записи, которые являются потенциальной угрозой безопасности.
Взгляд архитектора:
Логи доступа — это не просто текст, это данные для системы безопасности. Настоящий архитектор не смотрит их вручную. Он настраивает автоматический сбор этих логов в централизованную систему (SIEM, ELK Stack) и создает правила для алертов — например, "уведомить, если root залогинился не из консоли" или "уведомить о входе с IP-адреса, который не числится в белом списке".
#linux #security #audit #logging #lastlog #команды