در لینوکس وقتی کاربری با حساب کاربری وارد سیستم می شود فایل های var/log/wtmp/ و var/log/btmp/ و var/log/secure/ که فایل های ثبت رویداد هستند تحت تاثیر قرار می گیرند. دستور های less,cat,head,tail برای خواندن فایل secure مفید هستند ولی فایل های wtmp و btmp که ازنوع فایل های باینری هستند با دستور های قبلی خوانده نمی شوند بلکه محتوای آنها با دستور string نمایش داده می شود اما خروجی مناسبی نشان داده نمی شود.
فایل wtmp شامل اطلاعات کاربران وارد شده به سیستم مانند نام کاربر، زمان و تاریخ ورود، از کدام ترمینال وارد شده اند و … و فایل btmp شامل اطلاعات ورود های ناموفق به دلیل اشتباه وارد کردن نام کاربری یا پسورد است.بجای استفاده از دستور string به ترتیب برای خواندن فایل های wtmp و btmp از دستور های last و lastb استفاده می کنیم.
دستور last اطلاعات ذخیره شده از login ها موفق به سیستم و logout ها از سیستم که در فایل wtmp ذخیره می وند را می خواند و در چندین ستون نشان می دهد. همچنین دستور lastb مخفف last bad اطلاعات login های ناموفق ثبت شده در فایل btmp را خوانده و نمایش می دهد.
ساده ترین شکل استفاده از دستور نوشتن و اجرای تنهای آنهاست :
همچنین می توانیم خروجی را بصورت زیر برای یک نام کاربری خاص تنظیم کنیم.
بطور مثال برای فهمیدن اطلاعات کاربر root به سیستم که در چه زمانی و از چه ترمینالی وارد شده و در چه ساعتی خارج شده.
در توضح شکل بالا (قسمت آبی انتخاب شده) کاربر root از ترمینال tty1 در تاریخ 23 دسامبر در ساعت 05:45 وارد سیستم شده و هنوز (still) روی سیستم حضور دارد. (logged in). اما در قسمت سبز انتخاب شده کاربر root وارد شبه ترمینال pts/0 در تاریخ 23 دسامبر در ساعت 06:14 شده و سپس در ساعت 06:15 از این ترمینال خارج شده است. (یا پنجره آنرا بسته یا اینکه دستور exit را زده است.). در قسمت قرمز انتخاب شده دوباره کاربر root در زمان 23 دسامبر در ساعت 06:16 دوباره ترمینال pts/0 را باز کرده و هنوز (still) روی آن حضور دارد (هنوز آنرا نبسته یا دستور exit را اجرا نکرده است.). تفاوت tty Device ها و pst Device ها
دستور زیر نیز ورود های ناموفق کاربر root را نشان می دهد.
در شکل های بالا 0: یعنی یک ورود محلی ( Local Loggin) پس می شود بطور مثال با ارتباط راه دور مثل ssh بجای 0: یک آدرس ماشین راه دور نشان داده شود. سوئیچ d- برای نشان دادن ورود های غیر محلی (non-local logins) استفاده می شود.
و دستور زیر برای lastb . یعنی بطور مثال تلاش برای ورود به سیستم از یک ماشین راه دور توسط ssh ولی ناموفق
اولین خط شکل بالا نشان می دهد که تلاش از ماشین 192.168.1.103 برای اتصال به ماشین با نام کاربری root (کاربری از ماشین 192.168.1.103 قصد اتصال به این ماشین و بدست آوردن کاربر root را روی این ماشین داشه است) ناموفق بوده است. (ssh:notty)
سوئیچ a- باعث اضافه شدن یک ستون به خروجی که hostname ها را نشان می دهد.
last -a
last -a -d
last -a username
last -a -d username
lastb -a
last -a -d
last -a username
last -a -d username
نویسنده نامی امیر
فایل wtmp شامل اطلاعات کاربران وارد شده به سیستم مانند نام کاربر، زمان و تاریخ ورود، از کدام ترمینال وارد شده اند و … و فایل btmp شامل اطلاعات ورود های ناموفق به دلیل اشتباه وارد کردن نام کاربری یا پسورد است.بجای استفاده از دستور string به ترتیب برای خواندن فایل های wtmp و btmp از دستور های last و lastb استفاده می کنیم.
دستور last اطلاعات ذخیره شده از login ها موفق به سیستم و logout ها از سیستم که در فایل wtmp ذخیره می وند را می خواند و در چندین ستون نشان می دهد. همچنین دستور lastb مخفف last bad اطلاعات login های ناموفق ثبت شده در فایل btmp را خوانده و نمایش می دهد.
ساده ترین شکل استفاده از دستور نوشتن و اجرای تنهای آنهاست :
کد PHP:
last
کد PHP:
lastb
کد PHP:
last username
کد PHP:
lastb username
کد PHP:
last root
در توضح شکل بالا (قسمت آبی انتخاب شده) کاربر root از ترمینال tty1 در تاریخ 23 دسامبر در ساعت 05:45 وارد سیستم شده و هنوز (still) روی سیستم حضور دارد. (logged in). اما در قسمت سبز انتخاب شده کاربر root وارد شبه ترمینال pts/0 در تاریخ 23 دسامبر در ساعت 06:14 شده و سپس در ساعت 06:15 از این ترمینال خارج شده است. (یا پنجره آنرا بسته یا اینکه دستور exit را زده است.). در قسمت قرمز انتخاب شده دوباره کاربر root در زمان 23 دسامبر در ساعت 06:16 دوباره ترمینال pts/0 را باز کرده و هنوز (still) روی آن حضور دارد (هنوز آنرا نبسته یا دستور exit را اجرا نکرده است.). تفاوت tty Device ها و pst Device ها
دستور زیر نیز ورود های ناموفق کاربر root را نشان می دهد.
کد PHP:
lastb root
در شکل های بالا 0: یعنی یک ورود محلی ( Local Loggin) پس می شود بطور مثال با ارتباط راه دور مثل ssh بجای 0: یک آدرس ماشین راه دور نشان داده شود. سوئیچ d- برای نشان دادن ورود های غیر محلی (non-local logins) استفاده می شود.
کد PHP:
last -d
کد PHP:
last -d root
و دستور زیر برای lastb . یعنی بطور مثال تلاش برای ورود به سیستم از یک ماشین راه دور توسط ssh ولی ناموفق
کد PHP:
lastb -d
کد PHP:
lastd -d root
سوئیچ a- باعث اضافه شدن یک ستون به خروجی که hostname ها را نشان می دهد.
last -a
last -a -d
last -a username
last -a -d username
lastb -a
last -a -d
last -a username
last -a -d username
کامنت