使用 utmpdump 监控 CentOS 用户登录历史

使用 utmpdump 监控 CentOS 用户登录历史

保留、维护和分析日志(如某个特定时期内发生过的,或正在发生的帐号事件),是Linux系统管理员最基础和最重要的任务之一。对于用户管理,检查用户的登入和登出日志(不管是失败的,还是成功的)可以让我们对任何潜在的安全隐患或未经授权使用系统的情况保持警惕。例如,工作时间之外或放假期间的来自未知IP地址或帐号的远程登录应当发出红色警报。

在CentOS系统上,用户登录历史存储在以下这些文件中:

  • /var/run/utmp(用于记录当前打开的会话)被who和w工具用来记录当前有谁登录以及他们正在做什么,而uptime用来记录系统启动时间。
  • /var/log/wtmp (用于存储系统连接历史记录)被last工具用来记录最后登录的用户的列表。
  • /var/log/btmp(记录失败的登录尝试)被lastb工具用来记录最后失败的登录尝试的列表。

在本文中,我将介绍如何使用utmpdump,这个小程序来自sysvinit-tools包,可以用于转储二进制日志文件到文本格式的文件以便检查。此工具默认在CentOS 6和7系列上可用。utmpdump收集到的信息比先前提到过的工具的输出要更全面,这让它成为一个胜任该工作的很不错的工具。除此之外,utmpdump可以用于修改utmp或wtmp。如果你想要修复二进制日志中的任何损坏条目,它会很有用(LCTT 译注:我怎么觉得这像是做坏事的前奏?)。

Utmpdump的使用及其输出说明

正如我们之前提到的,这些日志文件,与我们大多数人熟悉的其它日志相比(如/var/log/messages,/var/log/cron,/var/log/maillog),是以二进制格式存储的,因而我们不能使用像less或more这样的文件命令来查看它们的内容。所以,utmpdump的出现拯救了世界。

为了要显示/var/run/utmp的内容,请运行以下命令:


  1. # utmpdump /var/run/utmp

同样要显示/var/log/wtmp的内容:


  1. # utmpdump /var/log/wtmp | tail -15

最后,对于/var/log/btmp:


  1. # utmpdump /var/log/btmp

正如你所能看到的,三种情况下的输出结果是一样的,除了utmp和btmp的记录是按时间排序,而wtmp的顺序是颠倒的这个原因外(LCTT 译注:此处原文有误,实际上都是按照时间顺序排列的)。

每个日志行格式化成了多列,说明如下。第一个字段显示了会话识别符,而第二个字段则是PID。第三个字段可以是以下值:--(表示运行等级改变或系统重启),bw(启动守候进程),数字(表示TTY编号),或者字符和数字(表示伪终端)。第四个字段可以为空或用户名、重启或运行级别。第五个字段是主TTY或PTY(伪终端),如果此信息可获得的话。第六个字段是远程主机名(如果是本地登录,该字段为空,运行级别信息除外,它会返回内核版本)。第七个字段是远程系统的IP地址(如果是本地登录,该字段为0.0.0.0)。如果没有提供DNS解析,第六和第七字段会显示相同的信息(远程系统的IP地址)。最后一个(第八)字段指明了该记录创建的日期和时间。

Utmpdump使用样例

下面提供了一些utmpdump的简单使用情况。

1、 检查8月18日到9月17日之间某个特定用户(如gacanepa)的登录次数。


  1. # utmpdump /var/log/wtmp | grep gacanepa

如果你需要回顾先前日期的登录信息,你可以检查/var/log下的wtmp-YYYYMMDD(或wtmp.[1...N])和btmp-YYYYMMDD(或btmp.[1...N])文件,这些是由logrotate生成的旧wtmp和btmp的归档文件。

2、 统计来自IP地址192.168.0.101的登录次数。


  1. # utmpdump /var/log/wtmp | grep 192.168.0.101

3、 显示失败的登录尝试。


  1. # utmpdump /var/log/btmp

在/var/log/btmp输出中,每个日志行都与一个失败的登录尝试相关(如使用不正确的密码,或者一个不存在的用户ID)。上面图片中高亮部分显示了使用不存在的用户ID登录,这警告你有人尝试猜测常用帐号名来闯入系统。这在使用tty1的情况下是个极其严重的问题,因为这意味着某人对你机器上的终端具有访问权限(该检查一下谁拿到了进入你数据中心的钥匙了,也许吧?)

4、 显示每个用户会话的登入和登出信息


  1. # utmpdump /var/log/wtmp

在/var/logwtmp中,一次新的登录事件的特征是,第一个字段为‘7’,第三个字段是一个终端编号(或伪终端id),第四个字段为用户名。相关的登出事件会在第一个字段显示‘8’,第二个字段显示与登录一样的PID,而终端编号字段空白。例如,仔细观察上面图片中PID 1463的行。

  • 在 [Fri Sep 19 11:57:40 2014 ART],TTY1上显示登录提示符。
  • 在 [Fri Sep 19 12:04:21 2014 ART],用户 root 登入。
  • 在 [Fri Sep 19 12:07:24 2014 ART],用户 root 登出。

旁注:第四个字段的LOGIN意味着出现了一次登录到第五字段指定的终端的提示。

到目前为止,我介绍一些有点琐碎的例子。你可以将utmpdump和其它一些文本处理工具,如awk、sed、grep或cut组合,来产生过滤和加强的输出。

例如,你可以使用以下命令来列出某个特定用户(如gacanepa)的所有登录事件,并发送输出结果到.csv文件,它可以用像LibreOffice Calc或Microsoft Excel之类的文字或工作簿应用程序打开查看。让我们只显示PID、用户名、IP地址和时间戳:


  1. # utmpdump /var/log/wtmp | grep -E "\[7].*gacanepa" | awk -v OFS="," 'BEGIN {FS="] "}; {print $2,$4,$7,$8}' | sed -e 's/\[//g' -e 's/\]//g'

就像上面图片中三个高亮区域描绘的那样,过滤逻辑操作是由三个管道步骤组成的。第一步用于查找由用户gacanepa触发的登录事件([7]);第二步和第三部用于选择期望的字段,移除utmpdump输出的方括号并设置输出字段分隔符为逗号。

当然,如果你想要在以后打开来看,你需要重定向上面的命令输出到文件(添加“>[文件名].csv”到命令后面)。

在更为复杂的例子中,如果你想要知道在特定时间内哪些用户(在/etc/passwd中列出)没有登录,你可以从/etc/passwd中提取用户名,然后运行grep命令来获取/var/log/wtmp输出中对应用户的列表。就像你看到的那样,有着无限可能。

在进行总结之前,让我们简要地展示一下utmpdump的另外一种使用情况:修改utmp或wtmp。由于这些都是二进制日志文件,你不能像编辑文件一样来编辑它们。取而代之是,你可以将其内容输出成为文本格式,并修改文本输出内容,然后将修改后的内容导入回二进制日志中。如下:


  1. # utmpdump /var/log/utmp > tmp_output
  2. <使用文本编辑器修改 tmp_output>
  3. # utmpdump -r tmp_output > /var/log/utmp

这在你想要移除或修复二进制日志中的任何伪造条目时很有用。

下面小结一下,utmpdump从utmp、wtmp和btmp日志文件或轮循的旧归档文件来读取详细的登录事件,来补充如who,w,uptime,last,lastb之类的标准工具的不足,这也使得它成为一个很棒的工具。

你可以随意添加评论以加强本帖的含金量。

原文发布时间:2014-11-13

本文来自云栖合作伙伴“linux中国”

时间: 2024-09-15 23:28:27

使用 utmpdump 监控 CentOS 用户登录历史的相关文章

在CentOS系统上查看用户登录记录的方法

  保留.维护和分析日志(如某个特定时期内发生过的,或正在发生的帐号事件),是Linux系统管理员最基础和最重要的任务之一.对于用户管理,检查用户的登入和登出日志(不管是失败的,还是成功的)可以让我们对任何潜在的安全隐患或未经授权使用系统的情况保持警惕.例如,工作时间之外或放假期间的来自未知IP地址或帐号的远程登录应当发出红色警报. 在CentOS系统上,用户登录历史存储在以下这些文件中: /var/run/utmp(用于记录当前打开的会话)被who和w工具用来记录当前有谁登录以及他们正在做什么

ubuntu下如何查看用户登录及系统授权相关信息【转】

转自:http://www.tuicool.com/articles/ia67Bj 如何在ubuntu下查看相关用户登录历史,进行系统的日志跟踪和分析,以便发现系统登录问题,进行安全策略防护呢?ubuntu下的一些命令提供了很好的管理手段方法,较好地满足您的这些需求. 1,使用who命令查看当前登录状况. 如图所示,通过who命令可以查看到当前用户及ip的登录情况. 2,使用last命令查看最近登录情况. 如图所示,last命令列出最近一段时间的用户登录时间及ip记录. 3,使用lastlog命

64位centos 5.6编译安装vsftpd-2.3.4的两种用户登录配置

服务器搭建FTP是首要的任务了.虚拟用户登录比本地用户登录安全系数高.因为vsftpd虚拟用户,并不是系统的账号,也就仅用来支持Vsftpd服务用,因此没有许可他登陆系统的必要,比直接设定本地用户登录账号为登陆系统的用户安全性高. 一.文章要点: 1.64位系统下使用了PAM数据方式的虚拟用户配置 2.修改关键脚本,是编译成功通过.必要步骤,详细安装配置说明过程. 3.完全配置实例,Centos5.6编译安装vsftpd-2.3.4(配置本地用户登录.虚拟用户登录) 下载 wget http:/

Centos查看登录用户与断开已登录的用户

查看系统中有哪些用户:cut -d : -f 1 /etc/passwd 查看可以登录系统的用户:cat /etc/passwd | grep -v /sbin/nologin | cut -d : -f 1 查看用户操作:w命令(需要root权限) 查看某一用户:w 用户名 查看登录用户:who 查看用户登录历史记录:last 例 1. 查看登陆用户  代码如下 复制代码 [root@linux tmp]# w    18:00:52 up 2 days,  9:21,  1 user,  l

你会做Web上的用户登录功能吗?

  Web上的用户登录功能应该是最基本的功能了,可是在我看过一些站点的用户登录功能后,我觉得很有必要写一篇文章教大家怎么来做用户登录功能.下面的文章告诉大家这个功能可能并没有你所想像的那么简单,这是一个关系到用户安全的功能,希望大家能从下面的文章中能知道什么样的方法才是一个好的用户登录功能.以下内容,转载时请保持原文一致,并请注明作者和出处 . 用户名和口令 首先,我们先来说说用户名和口令的事.这并不是本站第一次谈论这个事了.如何管理自己的口令让你知道怎么管理自己的口令,破解你的口令让你知道在现

Linux下清空用户登录记录和命令历史的方法分享

  [root@localhost root]# echo > /var/log/wtmp 此文件默认打开时乱码的,里面可以看到ip等等信息 [root@localhost root]# echo >/var/log/wtmp [root@localhost root]# last 此时即看不到用户登录信息 清除登陆系统失败的记录,也就是lastb命令看到的记录 [root@localhost root]# echo > /var/log/btmp 此文件默认打开时乱码的 [root@l

Win8远程桌面登录历史痕迹的清除方法

  随着互联网的发展,在工作中,本地电脑或许无法满足我们单一的需求,比如我们拥有一个web服务器,或者运行某些程序在系统中受限制,那么这个时候需要借助远程连接来进入另外一台电脑中操作,但问题来了,在使用远程的桌面时候,就会留下很多的远程登陆历史.这个软件虽然很方便使用,但是通过远程桌面是需要经过帐户登陆的,这样对帐户是非常的不安全的.那么就来看一看怎样清除这些被远程登录的历史痕迹,来保护帐户安全呢? 清除Win8远程桌面登录历史痕迹的方法: 1.按"Windows+R"输入"

怎么清除Win8远程桌面登录历史痕迹

  1.按"Windows+R"输入"Regedit.exe"回车(如果出现UAC提示,请点击是),依次打开HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault. 删除目前已经无法使用的历史记录或者删除全部(MRU+数字,数据为远程连接的计算机名称)键值实现. 2.依次打开库文档,点击查看---选项打开文件夹选项,切换到查看,勾选"显示隐藏的文件.文件夹和驱动器". 3.查

清除Win8远程桌面登录历史痕迹

  1.按"Windows+R"输入"Regedit.exe"回车(如果出现UAC提示,请点击是),依次打开HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault. 删除目前已经无法使用的历史记录或者删除全部(MRU+数字,数据为远程连接的计算机名称)键值实现. 2.依次打开库文档,点击查看---选项打开文件夹选项,切换到查看,勾选"显示隐藏的文件.文件夹和驱动器". 3.查