LINUX: Historial de accesos al sistema.

Es muy frecuente que la gestión de un servidor GNU/Linux, se realice por varios usuarios. Y es muy posible que en algún momento necesites saber el historial de inicio de sesión por algunos de estos, e incluso averiguar la ip con la que conectaron contra el sistema.

En este articulo vamos a ver, como revisar el historial de acceso de sesión en nuestro sistema.

La información de inicio de sistema se registra en los los siguientes ficheros:

  • /var/log/wtmp: registros de los última sesión de inicio de sesión.
  • /var/run/utmp: registros de las sesiones de inicio de sesión actuales.
  • /var/log/btmp: registro de los intentos de inicio de sesión incorrectos.

Ver el historial de todos los usuarios registrados:

Con el comando last podemos observar, se enumera el usuario, la dirección IP, la fecha, la hora del inicio de sesión y el tiempo que duró la sesión. pts/1 o pts/0 significa que se accedió a través de SSH.

La última línea de la salida se indica cuándo se creó el archivo de registro wtmp. Esto es un detalle importante, porque si el archivo wtmp se elimina, el comando last no podrá mostrar el historial de los inicios de sesión anteriores a esa fecha.

Ver el historial de un usuario determinado:

Si tan sólo quisiéramos filtar por un usuario podemos hacerlo con el comando last nombre_de_usario.

Comando last + usuario

Para verificar los intentos fallidos de inicio de sesión a nuestro sistema. Lo haremos con el comando lastb.

Comando lastb