B級システムエンジニアの備忘録

インフラ・プログラミングなんでもやるぞ雑用エンジニアブログ

CentOS Linux サーバー システム・技術情報 セキュリティ

不正SSH接続調査!!last その他lastlog whoコマンド等について

投稿日:

最近サーバーのセキュリティ強化をしないとといつも思いつつ何もできずにいる日々を悶々とすごしています汗

手軽にログ等でみれればいいのにと思っていたところ、
素晴らしいコマンドを発見しましたので、ご紹介

しかもコマンドがとても短い。。。

コマンドリファレンス

last [-num | -n num] [-f file] [-t YYYYMMDDHHMMSS] [-R] [-adioxFw] [username..] [tty..]
-R ログイン元ホストを表示しません。
-h ヘルプ
-d ログイン元ホストをホスト名表示
-i ログイン元ホストをIPアドレス表示
-x シャットダウン・ランレベル変更も表示
-n 数値 表示行数
-a ホストを末尾に表示
コマンドサンプル

5行だけログイン元をIPで表示 ※新しい日付から5行

# last -n5 -i
hoge pts/5 xxx.xxx.xxx.xxx Sat Dec 23 14:02 still logged in
hoge pts/4 xxx.xxx.xxx.xxx Sat Dec 23 14:02 still logged in
hage pts/1 xxx.xxx.xxx.xxx Sat Dec 23 14:02 still logged in
hoge pts/4 xxx.xxx.xxx.xxx Sat Dec 23 14:00 - 14:00 (00:00)
pome pts/4 xxx.xxx.xxx.xxx Sat Dec 23 13:59 - 13:59 (00:00)
wtmp begins Sat Sep 17 19:46:40 2016

lastについて

lastコマンドは/var/log/wtmpというバイナリファイルを表示する為のコマンドです。
実際にはほかにも以下のようなコマンドで同様に見ることができます。

$ lastlog -u hoge
Username Port From Latest
hoge pts/0 xxx.xxx.xxx.xxx Sat Dec 23 16:02:37 +0900 2017

lastlogコマンドで確認 ※これは最終の接続記録です。
$ lastlog -u hoge
Username Port From Latest
hoge pts/0 xxx.xxx.xxx.xxx Sat Dec 23 16:02:37 +0900 2017

whoコマンドで確認
$ who /var/log/wtmp
root tty1 May 29 01:32
root tty1 May 29 01:38
worker pts/0 May 29 01:43 (xxx.xxx.xxx.xxx.example.jp)
root tty1 May 30 01:19
worker pts/0 May 30 01:24 (xxx.xxx.xxx.xxx.example.jp)
worker pts/1 May 30 01:31 (xxx.xxx.xxx.xxx.example.jp)

実際にこのログをどう役立てるかは人によると思いますが、
私の場合はhistoryコマンドの時間とlastで出てくる接続時間を照合して、
不正なアクセスや操作がないか確認しています。
気になる方は以下の記事も参照ください。
historyコマンドへの日付記録法について

336

336

-CentOS, Linux, サーバー, システム・技術情報, セキュリティ

Copyright© B級システムエンジニアの備忘録 , 2021 All Rights Reserved.