Unter Linux ist es für die Sicherheit und Fehlerbehebung von entscheidender Bedeutung, nachzuverfolgen, wer auf ein System zugreift und wie dies geschieht. Dieser Prozess wird durch die Authentifizierungsprotokollierung verwaltet, die alle autorisierungsbezogenen Ereignisse aufzeichnet, wie z. B. Benutzeranmeldungen und die verwendeten Methoden.
Die auth.log-Datei
Auf Debian-basierten Systemen wie Ubuntu ist die primäre Datei zur Verfolgung dieser Aktivität /var/log/auth.log. Diese Protokolldatei enthält Systemautorisierungsinformationen, einschließlich erfolgreicher und fehlgeschlagener Benutzeranmeldeversuche und aller ausgelösten Authentifizierungsmechanismen. Die Überprüfung dieser Datei ist ein wichtiger Schritt bei der Diagnose von Anmeldeproblemen oder der Untersuchung von Sicherheitsvorfällen.
Hier ist ein Beispielausschnitt aus einer auth.log-Datei:
Jan 31 10:37:50 icebox pkexec: pam_unix(polkit-1:session): session opened for user root by (uid=1000)Protokolleinträge verstehen
Jede Zeile im Protokoll liefert wertvolle Details. Im obigen Beispiel:
Jan 31 10:37:50: Der Zeitstempel des Ereignisses.icebox: Der Hostname des Computers, auf dem das Ereignis aufgetreten ist.pkexec: Das Programm, das das Ereignis initiiert hat.pam_unix(polkit-1:session): Das verwendete Authentifizierungsmodul und der Dienst.session opened for user root by (uid=1000): Die durchgeführte Aktion – eine Sitzung wurde für den Benutzerrootvon einem Benutzer mit der UID1000geöffnet.
Alternative Protokolldateien
Es ist wichtig zu beachten, dass der Speicherort der Authentifizierungsprotokolle zwischen verschiedenen Linux-Distributionen variieren kann. Auf Red Hat-basierten Systemen wie CentOS und Fedora werden diese Ereignisse beispielsweise typischerweise in /var/log/secure anstelle von /var/log/auth.log aufgezeichnet.