Вопрос или проблема
Команды lastb и lastlog недоступны в Ubuntu 24.10.
Команда last не установлена по умолчанию. Но её можно установить с помощью:
# apt install wtmpdb
что не совсем такое же, как в 24.04, потому что это алиас “новой” команды wtmpdb, которая использует новую базу данных логирования SQLite3 по адресу /var/lib/wtmpdb/wtmpdb.db. Здесь записываются только успешные входы, как в файле /var/log/wtmp.
Несколько эквивалентная команда к lastlog, названная lastlog2 и использующая новую базу данных /var/lib/lastlog/lastlog2.db, доступна для загрузки; но снова, она работает несколько иначе по сравнению с lastlog.
Однако, похоже, что в Ubuntu 24.10 нет эквивалентной команды для lastb, которая бы отображала содержимое файла /var/log/btmp (или любой эквивалентной базы данных) для “неудачных” входов.
Какие варианты у меня есть, чтобы заменить команду lastb, чтобы я мог перечислить неудачные входы в систему?
Ответ или решение
В Ubuntu 24.10 произошли значительные изменения в управлении журналами аутентификации, что затронуло команды, связанные с отслеживанием входов в систему. В частности, команда lastb, которая исторически использовалась для отображения неудачных попыток входа из файла /var/log/btmp, больше недоступна.
Изменения в команде lastb
Прежде всего, важно отметить, что с этим обновлением команда lastb не только исчезла, но также системе не предоставляется аналогичный инструмент для извлечения информации о неудачных входах. Это связано с переходом управления журналами к новой системе на основе SQLite3, что повлияло на формат хранения данных и доступные команды.
Изменение связки команд
Команда last больше не устанавливается по умолчанию, хотя она доступна для установки с помощью команды:
# apt install wtmpdbКоманда last теперь является псевдонимом для новой команды wtmpdb, которая использует базу данных wtmpdb.db, находящуюся по пути /var/lib/wtmpdb/. Важно отметить, что эта команда фиксирует только успешные входы, в отличие от lastb, которая отображала неудачные.
Альтернатива для lastlog
Для команды lastlog, аналогом которой может быть lastlog2, доступной для скачивания, используется база данных lastlog2.db в /var/lib/lastlog/. Однако эта команда также функционирует несколько иначе по сравнению с оригинальной lastlog, и ее возможности не перекрывают функции lastb.
Как отследить неудачные входы
Поскольку команда lastb отсутствует в Ubuntu 24.10, есть несколько альтернативных методов для обнаружения неудачных входов:
-
Прямой доступ к
btmp:
Вы все еще можете получить информацию о неудачных попытках входа, обращаясь напрямую к файлу/var/log/btmp. Для этого подойдет команда:sudo last -f /var/log/btmpЭто позволит вам просмотреть содержимое файла. Если файл отсутствует, это может свидетельствовать об отсутствии зафиксированных неудачных входов.
-
Скрипты и утилиты для мониторинга:
Вы можете написать простой скрипт на Bash, который будет просматривать файл/var/log/btmpи извлекать нужную информацию. Также стоит рассмотреть использование инструментов безопасности, таких как Fail2Ban, которые могут автоматизировать мониторинг и блокировку IP-адресов с частыми неудачными попытками входа. -
Настройка системного журнала:
В зависимости от конфигурации вашей системы, вы можете настроить логирование событий аутентификации для получения дополнительной информации о неудачных входах. Проверьте файл конфигурацииrsyslogдля определения уровней и типов логируемых событий.
Заключение
Изменения в Ubuntu 24.10, касающиеся отсутствия команд lastb и lastlog, требуют от системных администраторов адаптации своих методов мониторинга и анализа событий. Хотя новые инструменты, такие как wtmpdb и lastlog2, предлагают более современные подходы к хранению данных, они не полностью заменяют функциональность старых команд. Используя указанные рекомендации и альтернативные методы, вы сможете продолжать отслеживать неудачные входы в систему, обеспечивая надежность и безопасность вашего окружения.