Controllare gli accessi in Linux con utmpdump

Mattepuffo's logo
Controllare gli accessi in Linux con utmpdump

Controllare gli accessi in Linux con utmpdump

Sistemi operativi & mobile, Linux

Su Linux troviamo l'utility utmpdump che registra tutti i login, logout e i tentativi di accesso falliti.

Il tutto viene registrato in/da:

  • /var/run/utmp
  • /var/log/wtmp
  • /var/log/btmp

Cominciamo da utmp: detiene tutti gli utenti "loggati" nel sistema.

Viene usato dal comando who:

$ who
fermat   tty7         2022-03-03 07:52 (:0)

wtmp invece registra tutti in un log tutti i login e logout.

Viene usato dal comando last (come potete vedere anche dall'ultima riga):

$ last
fermat   tty7         :0               Thu Mar  3 07:52   still logged in
reboot   system boot  5.10.0-11-amd64  Thu Mar  3 07:52   still running
fermat   tty7         :0               Tue Mar  1 08:14 - 08:37  (00:23)
reboot   system boot  5.10.0-11-amd64  Tue Mar  1 08:13 - 08:37  (00:23)
fermat   tty7         :0               Fri Feb 25 08:22 - 08:49  (00:26)
reboot   system boot  5.10.0-11-amd64  Fri Feb 25 08:22 - 08:49  (00:26)
fermat   tty7         :0               Thu Feb 17 08:16 - 08:47  (00:30)
fermat   tty7         :0               Thu Feb 17 08:15 - 08:16  (00:01)
reboot   system boot  5.10.0-11-amd64  Thu Feb 17 08:15 - 08:47  (00:32)
fermat   tty7         :0               Tue Feb 15 08:26 - 09:16  (00:49)
reboot   system boot  5.10.0-11-amd64  Tue Feb 15 08:26 - 09:16  (00:49)
fermat   tty7         :0               Thu Feb  3 08:31 - 09:16  (00:44)
reboot   system boot  5.10.0-11-amd64  Thu Feb  3 08:31 - 09:16  (00:44)
............
wtmp begins Fri Oct  8 08:42:40 2021

Invece btmp registra tutt i tentativi di accesso falliti, e viene usato dal comando lastb:

# lastb
fermat   tty7         :0               Thu Feb 17 08:15 - 08:15  (00:00)
root     ssh:notty    171.22.76.81     Thu Feb  3 08:52 - 08:52  (00:00)
test     ssh:notty    171.22.76.81     Thu Feb  3 08:51 - 08:51  (00:00)
test     ssh:notty    171.22.76.81     Thu Feb  3 08:51 - 08:51  (00:00)
osmc     ssh:notty    171.22.76.81     Thu Feb  3 08:51 - 08:51  (00:00)
osmc     ssh:notty    171.22.76.81     Thu Feb  3 08:51 - 08:51  (00:00)
operator ssh:notty    171.22.76.81     Thu Feb  3 08:51 - 08:51  (00:00)
operator ssh:notty    171.22.76.81     Thu Feb  3 08:51 - 08:51  (00:00)
ftpuser  ssh:notty    171.22.76.81     Thu Feb  3 08:51 - 08:51  (00:00)
ftpuser  ssh:notty    171.22.76.81     Thu Feb  3 08:51 - 08:51  (00:00)
............
btmp begins Thu Nov 11 00:21:04 2021

Volendo possiamo anche usare direttamente utmpdump per vedere gli output in formato raw:

# utmpdump /var/run/utmp 
# utmpdump /var/log/wtmp
# utmpdump /var/log/btmp

Enjoy!

Condividi

Commentami!