Автор Тема: Simply Linux как посмотреть лог авторизаций  (Прочитано 1164 раз)

Оффлайн zrpg

  • Давно тут
  • **
  • Сообщений: 98
Подскажите пожалуйста где в SL лог авторизаций?
Simply Linux 10.2 x86_64

Оффлайн asy

  • alt linux team
  • ***
  • Сообщений: 8 151

Оффлайн zrpg

  • Давно тут
  • **
  • Сообщений: 98
Спасибо, но к сожалению там конкретного ответа нет. В гугл тоже спрашивал. Да и в яндекс тоже
Simply Linux 10.2 x86_64

Оффлайн ruslandh

  • Поспешай не торопясь !
  • Модератор глобальный
  • *****
  • Сообщений: 32 302
  • Учиться .... Телепатами не рождаются, ими ....
    • Email
Как это нет - смотрите журнал на момент регистрации по времени, ну или переключитесь на tty12 (Ctrl+Alt+F12) и смотрите что произошло недавно, если логи не убежали ещё вверх.

Оффлайн zrpg

  • Давно тут
  • **
  • Сообщений: 98
Как это нет
я понимаю, что где-то в journalctl они все есть, но вопрос в том как их отфильтровать.
Пока не нашёл ничего лучше чем
journalctl -t login -t su -t sudo -t lightdmПо моему раньше было проще. Был лог auth и faillog
Simply Linux 10.2 x86_64

Оффлайн stranger573

  • Мастер
  • ***
  • Сообщений: 1 526
    • Email
Мамочки...
А, что команда last уже куда то исчезла?

Оффлайн asy

  • alt linux team
  • ***
  • Сообщений: 8 151
По моему раньше было проще. Был лог auth и faillog
Это да. Но, увы, мода на systemd... Опять же, можно journalctl без параметров и все те же grep/last/разное. Только разобраться с тем, по каким паттернам выборку делать.

Оффлайн zrpg

  • Давно тут
  • **
  • Сообщений: 98
А, что команда last уже куда то исчезла?
она не показывает root'а
Опять же, можно journalctl без параметров и все те же grep/last/разное. Только разобраться с тем, по каким паттернам выборку делать.
Видимо только это и остаётся.

А почему мода на systemd началась? Потому что он асинхронно загружает юниты?
Simply Linux 10.2 x86_64

Оффлайн Александр Ерещенко

  • Завсегдатай
  • *
  • Сообщений: 1 192
А, что команда last уже куда то исчезла?
она не показывает root'а
Разве?
$ last -n 10
...
root     tty2                          Thu Jun 20 10:02 - 10:22  (00:19)   
...
...
root     pts/0        localhost        Sat Jun 15 17:51 - 17:52  (00:01)   
...

Оффлайн zrpg

  • Давно тут
  • **
  • Сообщений: 98
Разве?
Сделайте sudo -s или su, затем посмотрите в last, и этого входа вы не увидите
Simply Linux 10.2 x86_64

Оффлайн stranger573

  • Мастер
  • ***
  • Сообщений: 1 526
    • Email
Разве?
Сделайте sudo -s или su, затем посмотрите в last, и этого входа вы не увидите

[user1@el12 ~]$ last -iFwx -n 12
user1   pts/0        0.0.0.0          Thu Jun 20 16:02:25 2024   still logged in                     
root     pts/0        127.0.0.1        Thu Jun 20 16:01:59 2024 - Thu Jun 20 16:02:21 2024  (00:00)   
user1   pts/0        0.0.0.0          Thu Jun 20 16:01:44 2024 - Thu Jun 20 16:01:59 2024  (00:00)   
user1   pts/0        0.0.0.0          Thu Jun 20 16:01:36 2024 - Thu Jun 20 16:01:43 2024  (00:00)   
user1   pts/0        0.0.0.0          Thu Jun 20 16:01:18 2024 - Thu Jun 20 16:01:35 2024  (00:00)   
root     tty2         127.0.0.1        Thu Jun 20 16:01:07 2024 - Thu Jun 20 16:01:12 2024  (00:00)   
user1   pts/0        0.0.0.0          Thu Jun 20 16:00:29 2024 - Thu Jun 20 16:00:41 2024  (00:00)   
root     pts/0        127.0.0.1        Thu Jun 20 16:00:27 2024 - Thu Jun 20 16:00:29 2024  (00:00)   
user1   pts/0        0.0.0.0          Thu Jun 20 16:00:15 2024 - Thu Jun 20 16:00:27 2024  (00:00)   
user1   :0           0.0.0.0          Thu Jun 20 15:59:34 2024   still logged in                     
runlevel (to lvl 5)   0.0.0.0          Thu Jun 20 15:59:29 2024 - Thu Jun 20 16:03:02 2024  (00:03)   
reboot   system boot  0.0.0.0          Thu Jun 20 15:59:25 2024 - Thu Jun 20 16:03:02 2024  (00:03)   

wtmp begins Thu Feb 22 04:24:13 2024
Первый вход из эмулятора терминала с su (pts/0).
Второй вход из чистой консоли (tty2).
Третий выполнение команды из эмулятора терминала с su -l root -c command (pts/0).
А вот выполнение su -c command записано не будет, поскольку не выполняется логин. last только логины показывает. Как там sudo не знаю, суды у меня ни на каких машинах нет. Journalctl покажет все типы авторизаций (если в фильтрации не упустить), в этом плане он лучше. Кстати, там ещё надо посмотреть как со входами из сети будет. Возможно ещё что-нибудь надо будет добавить, там же разные варианты входа есть.
« Последнее редактирование: 20.06.2024 16:39:39 от stranger573 »

Оффлайн zrpg

  • Давно тут
  • **
  • Сообщений: 98
Странно, у меня su не показывает. И вообще pts ни одного нет
$ last -iFwx -n 10
evg      tty1         0.0.0.0          Thu Jun 20 19:34:35 2024   still logged in                     
runlevel (to lvl 5)   0.0.0.0          Thu Jun 20 19:33:36 2024 - Thu Jun 20 19:39:05 2024  (00:05)   
reboot   system boot  0.0.0.0          Thu Jun 20 19:32:56 2024 - Thu Jun 20 19:39:05 2024  (00:06)   
shutdown system down  0.0.0.0          Wed Jun 19 22:38:15 2024 - Thu Jun 20 19:32:56 2024  (20:54)   
evg      tty1         0.0.0.0          Wed Jun 19 21:22:11 2024 - Wed Jun 19 22:38:12 2024  (01:16)   
evg      tty2         0.0.0.0          Wed Jun 19 20:27:31 2024 - Wed Jun 19 20:28:40 2024  (00:01)   
evg      tty1         0.0.0.0          Wed Jun 19 20:24:52 2024 - Wed Jun 19 21:21:09 2024  (00:56)   
runlevel (to lvl 5)   0.0.0.0          Wed Jun 19 19:37:39 2024 - Wed Jun 19 22:38:15 2024  (03:00)   
reboot   system boot  0.0.0.0          Wed Jun 19 19:37:02 2024 - Wed Jun 19 22:38:15 2024  (03:01)   
shutdown system down  0.0.0.0          Tue Jun 18 22:27:14 2024 - Wed Jun 19 19:37:02 2024  (21:09)   
 
wtmp begins Wed Nov  9 07:03:56 2022
Simply Linux 10.2 x86_64

Оффлайн stranger573

  • Мастер
  • ***
  • Сообщений: 1 526
    • Email
Странно, у меня su не показывает. И вообще pts ни одного нет
pts это когда из эмулятора терминала вход с su. Из консоли будет tty.
   Тут может зависить от платформы (у меня p10). От того, что у вас симпли, а у меня стартер xfce. Симпли, скажем так, попорчен "удобствами". Может в этом дело. В файл wtmp, насколько помню пишет служба login и используется цепочка служб типа портмонитора, pam и т.д. Залезать туда без крайней необходимости не стоит. Старый syslog вернуть вроде пока можно, но уже заморочно и как это будет работать параллельно с journal — кто знает? Но нагрузка в этом случае возрастёт однозначно. Вообще тенденции такие, что похоже логи постепенно будут оттяпывать в пользу journal. Так что, пожалуй, лучше приспосабливаться к нему.

Оффлайн rits

  • Завсегдатай
  • *
  • Сообщений: 1 092
  • ITS
А почему мода на systemd началась?
Нельзя такие вопросы задавать, а то тема на 100500 страниц вылезет )

Оффлайн zrpg

  • Давно тут
  • **
  • Сообщений: 98
Так что, пожалуй, лучше приспосабливаться к нему.
Похоже на то. Спасибо!
Нельзя такие вопросы задавать, а то тема на 100500 страниц вылезет )
:)

Ещё один вопрос раз уж затронули systemd и init. В диспетчере задач процесс с PID 1 это /sbin/init, в ps -efH тоже. А вот pstree показывает на самом верху systemd. Кому верить?
Simply Linux 10.2 x86_64