В Linux отслеживание того, кто и как получает доступ к системе, имеет решающее значение для безопасности и устранения неполадок. Этот процесс управляется через ведение журнала аутентификации, который записывает все события, связанные с авторизацией, такие как входы пользователей и используемые методы.
Файл auth.log
В системах на базе Debian, таких как Ubuntu, основным файлом для отслеживания этой активности является /var/log/auth.log. Этот файл журнала содержит информацию об авторизации системы, включая успешные и неудачные попытки входа пользователей, а также любые запущенные механизмы аутентификации. Просмотр этого файла является ключевым шагом в диагностике проблем со входом в систему или расследовании инцидентов безопасности.
Вот пример фрагмента из файла auth.log:
Jan 31 10:37:50 icebox pkexec: pam_unix(polkit-1:session): session opened for user root by (uid=1000)Понимание записей журнала
Каждая строка в журнале предоставляет ценные сведения. В приведенном выше примере:
Jan 31 10:37:50: Временная метка события.icebox: Имя хоста машины, на которой произошло событие.pkexec: Программа, инициировавшая событие.pam_unix(polkit-1:session): Использованный модуль аутентификации и служба.session opened for user root by (uid=1000): Выполненное действие — сеанс был открыт для пользователяrootпользователем с UID1000.
Альтернативные файлы журналов
Важно отметить, что расположение журналов аутентификации может различаться в разных дистрибутивах Linux. Например, в системах на базе Red Hat, таких как CentOS и Fedora, эти события обычно записываются в /var/log/secure вместо /var/log/auth.log.