Я ищу файл журнала или любую службу, чтобы сообщить о последних попытках входа в систему, которые не удалось из-за несоответствия имени пользователя и пароля. Есть ли такие утилиты для CentOS? (встроенный является предпочтительным)
Мой второй вопрос, и в целом, мне нужен файл журнала попыток проникновения на мой сервер. В идеале этот журнал должен содержать все попытки, включая входы в систему, действия httpd и другие обычные открытые порты.
Ответы:
В Linux
last
команда показывает успешные попытки входа в систему и отображает информацию о сеансе (количество точек, источник, дата и длина).Команда
lastb
записывает все неудачные попытки входа в систему. Оба используют одну и ту жеman
страницу, но разница в том, чтоlast
читает двоичный/var/log/wtmp
файл иlastb
читает/var/log/btmp
файл по умолчанию.Диапазон этих файлов зависит от вашего графика ротации журналов, но он должен занимать несколько недель. Большинство дистрибутивов будут чередоваться
/var/log/wtmp
ежемесячно, поэтому вы можете прочитать предыдущую запись, обычно указанную в списке/var/log/wtmp.1
, указав файл с-f
параметром ...last -f /var/log/wtmp.1
источник
lastb
Вопрос здесь оффтопный, но очень короткий ответ: возможно, вам следует просто проверить / var / log / secure (например, grep для «fail»).
источник
Это старая ветка, но я получил похожую задачу, так что в моем случае это запись в журнале
Таким образом, мы можем сделать это так, если мы уверены, что пользователь статичен
В случае, если мы знаем на основе пользователя
Так что скрипт должен исполняться как
ИЛИ более легкий подход
источник