En este artículo explico cómo manipular la salida del comando last para determinar quiénes fueron los últimos usuarios logueados en un sistema GNU/Linux.
En GNU/Linux, cada vez que un usuario ingresa al sistema utilizando la herramienta login, se guarda un registro de su acceso en un archivo de log (generalmente en el archivo /var/log/wtmp). La herramienta login es la que busca al usuario en el archivo /etc/passwd y gestiona el proceso de autenticación y autorización. Es decir, determina si el usuario es quien dice ser (mediante una contraseña) y si tiene permiso para ingresar al sistema (tiene acceso a una terminal o sólo se utiliza para autenticar un servicio o es el usuario con el que se ejecuta un demonio).
Además de los accesos desde la terminal conectada directamente al sistema (TTY) algunos servicios como SSH, SCP y SFTP utilizan la herramienta login para autenticar y autorizar usuarios. Inclusive es posible restringir el acceso a estos servicios sólo a aquellos usuarios que pertenezcan a un grupo específico.
La herramienta last muestra un listado de los últimos usuarios que han ingresado al sistema. Esta busca en el archivo /var/log/wtmp y por defecto lista todos los usuarios que han ingresado desde que se creó el archivo de log. lastb es similar a last excepto que busca en el archivo /var/log/btmp, el cual registra los intentos de acceso fallidos.
En un servidor, la salida por defecto del comando last puede ser muy extensa y suele truncar los nombres de host, por lo tanto es necesario manipularla utilizando los parámetros disponibles.
La salida de last está ordenada con los acceso más recientes al comienzo. Para mostrar sólo algunos de los últimos accesos (en vez de todos los que se encuentran registrados desde la creación del archivo /var/log/wtmp) se debe utilizar la opción -n. Por ejemplo, para que muestre sólo los últimos 5 accesos, utilizar:
[root@pepeserver154 ~]# last -n 5 root pts/3 193.202.112.211 Tue Nov 26 16:24 still logged in root pts/5 pepews.linuxito. Wed Nov 20 08:47 - 11:10 (02:22) root pts/3 pepews.linuxito. Wed Nov 20 08:16 - 14:10 (05:53) root pts/3 pepews.linuxito. Thu Nov 14 12:58 - 14:10 (01:11) root pts/3 pepews.linuxito. Wed Nov 13 07:52 - 13:03 (05:10) wtmp begins Mon Aug 13 13:56:09 2012
También es posible omitir la letra n y poner el número directamente:
[root@pepeserver154 ~]# last -5 root pts/3 193.202.112.211 Tue Nov 26 16:24 still logged in root pts/5 pepews.linuxito. Wed Nov 20 08:47 - 11:10 (02:22) root pts/3 pepews.linuxito. Wed Nov 20 08:16 - 14:10 (05:53) root pts/3 pepews.linuxito. Thu Nov 14 12:58 - 14:10 (01:11) root pts/3 pepews.linuxito. Wed Nov 13 07:52 - 13:03 (05:10) wtmp begins Mon Aug 13 13:56:09 2012
La primera columna muestra el nombre de usuario; la segunda la terminal asociada; la tercera el nombre de host desde donde ingresó; la cuarta la fecha de ingreso; y la quinta la fecha de salida. Por último muestra el tiempo total en el sistema, entre paréntesis. El problema más común es que las columnas poseen un ancho fijo, por lo que el nombre de host (un dato que suele ser de interés) queda truncado. Para corregir esto es posible mostrar el nombre de host en la última columna, utilizando la opción -a:
[root@pepeserver154 ~]# last -an 5 root pts/3 Tue Nov 26 16:24 still logged in 193.202.112.211 root pts/5 Wed Nov 20 08:47 - 11:10 (02:22) pepews.linuxito.com root pts/3 Wed Nov 20 08:16 - 14:10 (05:53) pepews.linuxito.com root pts/3 Thu Nov 14 12:58 - 14:10 (01:11) pepews.linuxito.com root pts/3 Wed Nov 13 07:52 - 13:03 (05:10) pepews.linuxito.com wtmp begins Mon Aug 13 13:56:09 2012
Como los sistemas GNU/Linux guardan tanto el nombre de host como IP, es posible mostrar las direcciones IP, en lugar de hostnames, utilizando la opción -i:
[root@pepeserver154 ~]# last -ain 5 root pts/3 Tue Nov 26 16:24 still logged in 193.202.112.211 root pts/5 Wed Nov 20 08:47 - 11:10 (02:22) 167.34.5.122 root pts/3 Wed Nov 20 08:16 - 14:10 (05:53) 167.34.5.122 root pts/3 Thu Nov 14 12:58 - 14:10 (01:11) 167.34.5.122 root pts/3 Wed Nov 13 07:52 - 13:03 (05:10) 167.34.5.122 wtmp begins Mon Aug 13 13:56:09 2012
Si se desean mostrar las fechas en formato completo, utilizar -F:
[root@pepeserver154 ~]# last -aiFn 5 root pts/3 Tue Nov 26 16:24:14 2013 still logged in 193.202.112.211 root pts/5 Wed Nov 20 08:47:44 2013 - Wed Nov 20 11:10:42 2013 (02:22) 167.34.5.122 root pts/3 Wed Nov 20 08:16:40 2013 - Wed Nov 20 14:10:02 2013 (05:53) 167.34.5.122 root pts/3 Thu Nov 14 12:58:45 2013 - Thu Nov 14 14:10:04 2013 (01:11) 167.34.5.122 root pts/3 Wed Nov 13 07:52:56 2013 - Wed Nov 13 13:03:10 2013 (05:10) 167.34.5.122 wtmp begins Mon Aug 13 13:56:09 2012
Por último un ejemplo con la herramienta lastb, la cual muestra los intentos de acceso fallidos (algo de suma importancia en lo que respecta a la seguridad de nuestro servidor):
[root@pepeserver154 ~]# lastb -ia
root ssh:notty Tue Nov 26 16:24 - 16:24 (00:00) 193.202.112.211
ssh:notty Fri Nov 22 12:19 - 12:19 (00:00) 107.22.83.149
ssh:notty Fri Nov 22 12:19 - 12:19 (00:00) 107.22.83.149
btmp begins Fri Nov 22 12:19:52 2013
Espero que les haya servido!
