No Linux, acompanhar quem acessa um sistema e como o faz é crucial para a segurança e solução de problemas. Este processo é gerenciado através do registro de autenticação (authentication logging), que registra todos os eventos relacionados à autorização, como logins de usuários e os métodos utilizados.
O Arquivo auth.log
Em sistemas baseados em Debian, como o Ubuntu, o arquivo principal para rastrear essa atividade é o /var/log/auth.log. Este arquivo de log contém informações de autorização do sistema, incluindo tentativas de login de usuário bem-sucedidas e falhas, e quaisquer mecanismos de autenticação que foram acionados. A revisão deste arquivo é uma etapa fundamental para diagnosticar problemas de login ou investigar incidentes de segurança.
Aqui está um trecho de exemplo de um arquivo auth.log:
Jan 31 10:37:50 icebox pkexec: pam_unix(polkit-1:session): session opened for user root by (uid=1000)Entendendo as Entradas de Log
Cada linha no log fornece detalhes valiosos. No exemplo acima:
Jan 31 10:37:50: O carimbo de data/hora do evento.icebox: O nome do host da máquina onde o evento ocorreu.pkexec: O programa que iniciou o evento.pam_unix(polkit-1:session): O módulo de autenticação e o serviço utilizado.session opened for user root by (uid=1000): A ação realizada—uma sessão foi aberta para o usuáriorootpor um usuário com UID1000.
Arquivos de Log Alternativos
É importante notar que a localização dos logs de autenticação pode variar entre as distribuições Linux. Por exemplo, em sistemas baseados em Red Hat, como CentOS e Fedora, esses eventos são tipicamente registrados em /var/log/secure em vez de /var/log/auth.log.