En Linux, llevar un registro de quién accede a un sistema y cómo lo hace es crucial para la seguridad y la resolución de problemas. Este proceso se gestiona a través del registro de autenticación, que graba todos los eventos relacionados con la autorización, como los inicios de sesión de usuarios y los métodos utilizados.
El archivo auth.log
En sistemas basados en Debian como Ubuntu, el archivo principal para rastrear esta actividad es /var/log/auth.log. Este archivo de registro contiene información de autorización del sistema, incluidos los intentos de inicio de sesión de usuario exitosos y fallidos, y cualquier mecanismo de autenticación que se haya activado. Revisar este archivo es un paso clave para diagnosticar problemas de inicio de sesión o investigar incidentes de seguridad.
Aquí hay un fragmento de ejemplo de un archivo auth.log:
Jan 31 10:37:50 icebox pkexec: pam_unix(polkit-1:session): session opened for user root by (uid=1000)Entendiendo las entradas del registro
Cada línea en el registro proporciona detalles valiosos. En el ejemplo anterior:
Jan 31 10:37:50: La marca de tiempo del evento.icebox: El nombre del host de la máquina donde ocurrió el evento.pkexec: El programa que inició el evento.pam_unix(polkit-1:session): El módulo de autenticación y el servicio utilizados.session opened for user root by (uid=1000): La acción realizada: se abrió una sesión para el usuariorootpor un usuario con UID1000.
Archivos de registro alternativos
Es importante tener en cuenta que la ubicación de los registros de autenticación puede variar entre las distribuciones de Linux. Por ejemplo, en sistemas basados en Red Hat como CentOS y Fedora, estos eventos se registran típicamente en /var/log/secure en lugar de /var/log/auth.log.