Per esaminare da shell gli ultimi accessi è possibile utilizzare il comando:
last -n 30(per avere gli ultimi 30 accessi, sia da locale che da remoto tramite ssh)
E’ possibile inoltre creare un file in /home dove vengono loggati tutti gli accessi, ecco la procedura:
– Aggiungi queste righe nel file “.bash_aliases” presente nella tua /home. (come file nascosto)
(se non fosse abilitato da .bashrc, invece scrivile direttamente alla fine del file “.bashrc”)
# Logga accesso user #echo "Accesso a "`hostname`" in `date`" >> user.log
echo "utente:" >> user.log
echo "`who`" >> user.log
echo "-----" >> user.log
– In questo modo, quando un utente (compreso il tuo) si collega/apre una Shell viene loggato.
NOTA:
– Il file non raggiunge grandi dimensioni, ma se ogni tanto vuoi “rinfrescarlo” (dopo qualche mese) puoi rimpiazzarlo eliminandolo.
– Ne verrà creato uno exnovo, alla prima apertura di un terminale
Per esaminare invece i TENTATIVI di accesso, è possibile utilizzare il comando:
grep 'sshd' /var/log/auth.log
Per evitare però che grep consumi troppe risorse nel caso in cui il file di log sia molto grande, è possibile farsi ritornare solo le ultime 500 righe con il seguente comando:
less -500 /var/log/auth.log | grep 'sshd'