Warum du diese Befehle kennen solltest
Als RHCSA-orientierter Admin musst du Systemprotokolle und Journals finden und interpretieren können, um Login‑Aktivitäten nachzuvollziehen und Sicherheitsvorfälle zu erkennen. Befehle wie last, lastb und lastlog greifen auf spezielle Logdateien in /var/log zu und liefern dir genau diese Informationen zu erfolgreichen, fehlgeschlagenen und letzten Anmeldungen.
Grundlagen: utmp, wtmp und btmp
Linux speichert Login‑Informationen in binären Dateien, die du nicht direkt mit einem Texteditor lesen kannst. Für Anmeldehistorien sind vor allem wtmp für erfolgreiche Logins und Logouts sowie btmp für fehlgeschlagene Anmeldeversuche relevant, während utmp den aktuellen Login‑Status des Systems abbildet.
Die wichtigsten Dateien für dich als Admin sind:
/var/log/wtmp: Historie aller Logins, Logouts und Neustarts, Grundlage für last./var/log/btmp: Protokoll fehlgeschlagener Anmeldeversuche, Grundlage für lastb./var/log/lastlog: Spezielle Datei, aus der lastlog die jeweils letzte Anmeldung pro Benutzer liest.
last – erfolgreiche Logins und Systemstarts
Mit last wertest du schnell aus, wer sich wann auf einem System angemeldet und wieder abgemeldet hat, inklusive TTY, Quelle (Host/IP) und Dauer der Sitzung. Standardmäßig liest last die Datei /var/log/wtmp und zeigt dir zusätzlich Systemstarts und -neustarts an, was dir bei der Analyse von Vorfällen oder Wartungsfenstern hilft.
Wichtige Optionen von last:
- -n <Zahl> : Begrenze die Ausgabe auf eine bestimmte Anzahl Zeilen, um nur die letzten Logins zu sehen und die Übersicht zu behalten.
- -f <Datei> : Lies Login‑Informationen aus einer alternativen Datei, etwa aus einem archivierten wtmp, wenn du ältere Zeiträume untersuchen willst.
- -R : Unterdrücke die Anzeige des Remote‑Hostnamens, wenn du dich nur auf Benutzer, TTY und Zeiten konzentrieren willst.
Beispiele:
last
last -n 10
last -f /var/log/wtmp.1
last -R -n 20lastb – fehlgeschlagene Anmeldeversuche prüfen
lastb funktioniert wie last, zeigt aber standardmäßig nur fehlgeschlagene Anmeldeversuche aus /var/log/btmp an. Für diese Datei brauchst du in der Regel Root‑Rechte, da gescheiterte Logins sicherheitsrelevant sind und nur eingeschränkt lesbar sein sollen.
Wichtige Optionen von lastb:
- -n <Zahl>: Beschränke die Ausgabe auf die letzten fehlgeschlagenen Logins, um gezielt aktuelle Angriffe oder Tippfehler von Nutzern zu sehen.
- -f <Datei> : Nutze eine alternative btmp‑Datei, zum Beispiel ein älteres Archiv, um vergangene Brute‑Force‑Versuche zu analysieren.
Beispiele:
sudo lastb
sudo lastb -n 20
sudo lastb -f /var/log/btmp.1lastlog – letzte Logins pro Benutzer
Mit lastlog bekommst du eine tabellarische Übersicht der jeweils letzten erfolgreichen Anmeldung aller Benutzerkonten inklusive Zeitpunkt, Terminal und Quelle. Konten ohne bisherige Anmeldung werden als „never logged in“ dargestellt, was dir bei der Pflege inaktiver Accounts hilft.
Wichtige Optionen von lastlog:
- -u <UID/Name> : Zeige nur den letzten Login eines bestimmten Benutzers, zum Beispiel zur gezielten Überprüfung von Admin‑Konten.
- -b <Tage> : Zeige nur Einträge, deren letzte Anmeldung älter als die angegebene Anzahl Tage ist, um alte Konten zu identifizieren.
Beispiele:
lastlog
lastlog -u alice
lastlog -b 90Verbindung zu den RHCSA-Zielen
Im RHCSA‑Kontext gehört das Auffinden und Interpretieren von Systemprotokollen und Journals explizit zu den Prüfungszielen im Bereich „Ausführen laufender Systeme“. Dazu zählt, dass du Login‑Aktivitäten über /var/log und Werkzeuge wie last, lastb und lastlog einordnen kannst, um sicherheitsrelevante Ereignisse wie unbefugte Zugriffsversuche oder ungewöhnliche Anmeldezeiten zu erkennen.
Gerade in Kombination mit dem Verständnis für systemd‑Journale und andere Logdateien in /var/log schärfst du damit dein Gesamtbild der Systemaktivitäten auf produktiven Servern.
Gegenüberstellung: last, lastb und lastlog
| Befehl | Quelle / Datei | Zeigt an | Typische Nutzung |
|---|---|---|---|
| last | /var/log/wtmp | Erfolgreiche Logins, Logouts, Reboots | Allgemeine Login‑Historie und Sitzungsanalyse |
| lastb | /var/log/btmp | Fehlgeschlagene Anmeldeversuche | Erkennen von Angriffen und Login‑Fehlern |
| lastlog | /var/log/lastlog | Letzte erfolgreiche Anmeldung pro Benutzer | Aufräumen inaktiver Konten und Compliance‑Checks |
Zusammenfassung
Mit last, lastb und lastlog hast du als Admin drei kompakte Werkzeuge, um Login‑Aktivitäten aus den binären Logdateien wtmp, btmp und lastlog auszuwerten. Diese Befehle helfen dir dabei, sowohl reguläre Nutzung als auch Anomalien und Angriffsversuche schnell zu erkennen und unterstützen direkt das RHCSA‑Ziel, Systemprotokolle zu lokalisieren und zu interpretieren.
Schreibe einen Kommentar