Просмотр истории входа в Linux. Кто и когда входил в систему по SSH

Информация о том, кто входил или пытался войти в систему, хранится в следующих log файлах:

/var/log/btmp — неудачные попытки входа
/var/run/utmp — кто в данный момент находится в системе (текущие сессии)
/var/log/wtmp — список всех сессий входа в систему

Эти файлы имеют двоичный формат, поэтому их не получится посмотреть командой cat. Для просмотра нужно использовать команду last:

  …
root     pts/0        109.237.103.110  Thu Oct 17 14:30 - 18:36  (04:06)
root     pts/2        109.237.103.110  Thu Oct 17 10:55 - 16:23  (05:28)
root     pts/0        109.237.103.110  Thu Oct 17 10:53 - 10:56  (00:02)
root     pts/0        109.237.103.110  Thu Oct 17 08:59 - 09:00  (00:01)
root     pts/0        109.237.103.110  Thu Oct 17 08:45 - 08:45  (00:00)
root     pts/2        109.237.103.110  Thu Oct 17 08:25 - 10:53  (02:27)
root     pts/0        109.237.103.110  Thu Oct 17 08:18 - 08:25  (00:06)
reboot   system boot  5.10.0-33-amd64  Thu Oct 17 07:49   still running

wtmp begins Thu Oct 17 07:49:09 2024

Предпоследняя строчка указывает о включении/выключении системы (таких строчек может быть несколько в выводе), а последняя, когда был создан файл wtmp (или btmp, если используется команда lastb).

Чтобы посмотреть информацию о сессиях определённого пользователя, добавьте к команде last его имя:

Чтобы ограничить количество выводимых строк, добавьте их количество со знаком «-»:

По умолчанию, команда last выводит информацию из файла /var/log/wtmp — это список всех успешных сессий входа в систему.

Выведем записи о неудачных попытках входа из файла /var/log/btmp:

или более кратко:

Дополнительную информацию по командам last и lastb можно получить из руководства Linux: