Los logs de acceso en Linux nos permiten verificar si el sistema ha sido comprometido en el acceso por ssh.
En este tutorial, aprenderás cómo visualizar los logs de acceso en un sistema Linux utilizando varios comandos y archivos de log.
Requisitos Previos
- Acceso a una terminal de Linux con privilegios de administrador (root) para algunos comandos.
Paso 1: Usar el Comando last
El comando last muestra una lista de los últimos inicios de sesión en tu sistema.
- Abre una terminal.
- Escribe el siguiente comando y presiona Enter:
last
Esto mostrará una lista de usuarios que se han conectado recientemente, incluyendo la hora de inicio de sesión, la duración y la IP de origen.
Paso 2: Usar el Comando lastlog
El comando lastlog muestra la última vez que cada usuario se conectó.
- En la terminal, escribe:
lastlog
Esto mostrará una lista de todos los usuarios y la última vez que se conectaron.
Paso 3: Usar el Comando who
El comando who muestra quién está actualmente conectado al sistema.
- En la terminal, escribe:
who
Verás una lista de los usuarios actualmente conectados, junto con sus terminales y la hora de conexión.
Paso 4: Usar el Comando w
El comando w proporciona una visión más detallada de quién está conectado y qué están haciendo.
- En la terminal, escribe:
w
Esto mostrará información sobre los usuarios conectados, incluyendo su actividad actual y el tiempo de inactividad.
Paso 5: Inspeccionar Archivos de Logs
En distribuciones basadas en Debian/Ubuntu, puedes encontrar logs de autenticación en /var/log/auth.log. En distribuciones basadas en Red Hat/CentOS, están en /var/log/secure.
- Para ver logs en Debian/Ubuntu:
sudo cat /var/log/auth.log | grep "sshd"
- Para ver logs en Red Hat/CentOS:
sudo cat /var/log/secure | grep "sshd"
Estos comandos filtrarán los logs de autenticación relacionados con SSH.
Paso 6: Usar journalctl con systemd
En sistemas que utilizan systemd, journalctl es una herramienta poderosa para ver los logs del sistema.
- Para ver los logs relacionados con el servicio SSH:
sudo journalctl -u ssh
- Para ver todos los logs de autenticación del servicio SSH:
sudo journalctl _COMM=sshd
Ejemplo Práctico
Supongamos que deseas ver los últimos intentos de inicio de sesión y detalles de autenticación. Podrías seguir estos pasos:
- Ver los últimos inicios de sesión:
last
- Ver los detalles de autenticación usando
journalctl:
sudo journalctl _COMM=sshd
- Buscar en los logs de autenticación (Debian/Ubuntu):
sudo cat /var/log/auth.log | grep "sshd"
O en Red Hat/CentOS:
sudo cat /var/log/secure | grep "sshd"
Siguiendo estos pasos, podrás ver y analizar los logs de acceso en tu sistema Linux, lo que te ayudará a monitorear y asegurar tu sistema de manera efectiva.
Ingeniero en Informática, Investigador, me encanta crear cosas o arreglarlas y darles una nueva vida. Escritor y poeta. Más de 20 APPs publicadas y un libro en Amazon.