Andreas Moor

Linux Systemadministration

lastb – fehlgeschlagene Logins im Blick behalten

Inhaltsverzeichnis

Als RHCSA-Anwärter musst du in der Lage sein, Login-Aktivitäten und Protokolle zu interpretieren, um Sicherheitsprobleme zu erkennen und Systemprotokolle sinnvoll zu nutzen. Ein zentrales Werkzeug dafür ist der Befehl lastb, mit dem du fehlgeschlagene Anmeldeversuche gezielt auswertest und so verdächtige Aktivitäten wie Brute-Force-Angriffe schnell erkennst.

Was macht lastb?

lastb zeigt eine Liste aller fehlgeschlagenen Loginversuche an, die im binären Logfile /var/log/btmp gespeichert werden. Du siehst dabei unter anderem Benutzername, Terminal, Quellhost bzw. IP-Adresse sowie Datum und Uhrzeit des fehlgeschlagenen Versuchs.

Auf vielen RHEL-Systemen ist die Datei /var/log/btmp zunächst leer oder nicht angelegt und kann bei Bedarf mit touch /var/log/btmp und passenden Rechten aktiviert werden. Da es sich um sicherheitsrelevante Informationen handelt, ist das File typischerweise nur für root lesbar.

Syntax und Grundaufruf

Die grundlegende Syntax von lastb lautet:

lastb [optionen] [username ...] [tty ...]

Ohne weitere Angaben listet lastb alle fehlgeschlagenen Anmeldungen seit Anlegen der Datei /var/log/btmp auf. Du kannst die Ausgabe über Optionen einschränken oder nur bestimmte Benutzer bzw. Terminals anzeigen, was bei der Fehleranalyse und Sicherheitsüberwachung sehr hilfreich ist.

Wichtige Optionen von lastb

  • -n / --lines : Mit -n begrenzt du die Ausgabe auf eine bestimmte Anzahl von Zeilen, was die Übersichtlichkeit verbessert, wenn sehr viele fehlgeschlagene Logins protokolliert wurden. Das ist besonders nützlich, wenn du nur die letzten Vorfälle sehen möchtest, etwa zur schnellen Kontrolle nach einem verdächtigen Ereignis.
lastb -n 10
  • -a / --hostlast . Mit -a wird der Hostname in die letzte Spalte verschoben, was die Ausgabe bei breiten Terminals oder beim Export besser lesbar macht. So erkennst du schneller, von welchen Systemen die fehlgeschlagenen Logins kommen.
lastb -a
  • -d / --dns : Mit -d lässt du IP-Adressen in Hostnamen auflösen, sofern DNS korrekt konfiguriert ist. Dadurch kannst du verdächtige Netze oder ungewohnte Herkunftsländer leichter identifizieren.
lastb -d
  • -R : Die Option -R blendet Hostnamen in der Ausgabe aus, was sinnvoll ist, wenn du nur lokal relevante Daten betrachten oder die Ausgabe verschlanken willst.
lastb -R
  • -F :Mit -F erhältst du vollständige Zeitstempel inklusive Datum und Uhrzeit, was bei der Korrelation mit anderen Logs (z.B. journalctl oder /var/log/secure) sehr hilfreich ist. So kannst du Ereignisse über verschiedene Logquellen hinweg exakt zuordnen.
lastb -F
  • -f <file> : Mit -f kannst du eine alternative btmp-Datei angeben, beispielsweise aus einem Backup oder von einem anderen System. Damit analysierst du historische oder exportierte Login-Daten, ohne die aktuelle Systemdatei anzufassen.
lastb -f /pfad/zu/btmp-backup
  • Filter nach Benutzername und TTY
    Du kannst einen oder mehrere Benutzernamen und/oder TTYs direkt angeben, um nur relevante Einträge anzuzeigen. So siehst du zum Beispiel nur die fehlgeschlagenen Logins für einen bestimmten Account im Rahmen einer Sicherheitsüberprüfung.
lastb root lastb root tty1

lastb im RHCSA-Kontext

Im RHCSA-Umfeld gehört das Interpretieren von Systemprotokollen und Journals zu den Schlüsselaufgaben, um Probleme mit Authentifizierung und Sicherheit zu erkennen. lastb ergänzt hier Werkzeuge wie journalctl, /var/log/secure sowie last für erfolgreiche Logins, indem es dir speziell die fehlgeschlagenen Versuche strukturiert anzeigt.

Typische Einsatzszenarien sind das Erkennen von Brute-Force-Angriffen auf SSH, das Nachvollziehen von Tippfehlern oder gesperrten Accounts und die Dokumentation sicherheitsrelevanter Vorfälle. In Trainings und Prüfungsaufgaben kann von dir erwartet werden, dass du verdächtige Login-Muster identifizierst und daraus passende Maßnahmen wie härtere Passwortrichtlinien, SSH-Restriktionen oder Firewall-Regeln ableitest.

lastb, last und andere Werkzeuge

WerkzeugZweckQuelle / Logdatei
lastErfolgreiche Logins und Reboots./var/log/wtmp
lastbFehlgeschlagene Logins./var/log/btmp
journalctlSystemd-Journal mit Auth-Logs.Binäres Journal von systemd-journald
LogfilesDetail-Logs wie /var/log/secure oder /var/log/auth.log Entsprechende Text-Logdateien.​

Gerade im RHCSA-Kontext ist es wichtig, diese Werkzeuge im Zusammenspiel zu kennen, um umfassend auf Fehlkonfigurationen oder Angriffe reagieren zu können. So stellst du sicher, dass deine Systeme nicht nur funktionieren, sondern auch sauber überwacht und abgesichert sind.

Zusammenfassung

lastb ist ein zentrales Werkzeug, um fehlgeschlagene Loginversuche strukturiert auszuwerten und damit ein wichtiges Element der Sicherheitsüberwachung im Linux- und RHEL-Umfeld. In Kombination mit den passenden Optionen, anderen Protokollwerkzeugen und den RHCSA-Zielen zur Log-Analyse kannst du verdächtige Login-Muster früh erkennen und gezielt Gegenmaßnahmen ergreifen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Andreas Moor
Andreas Moor
@blog@andreas-moor.de

Hallo Fediverse, ich bin Andy!

Hier und auf meiner Website findest du mein akkumuliertes Linux-Sysadmin-Wissen, meine kleinen und größeren Projekte und die Tools, die ich nutze.

Viel Spaß beim stöbern, lesen und lernen! 🧑‍💻

217 Beiträge
10 Folgende

Weitere Beiträge