Descubre que usuarios se han conectado a tu sistema Linux o lo han intentado

por | 9 junio, 2014

user-linux-terminal

El archivo /var/log/wtmp mantiene en GNU/Linux un registro de todas las conexiones y desconexiones del sistema. Cada vez que un usuario se conecta, se inicia o se apaga el sistema, dicho archivo se actualiza y va aumentando en tamaño, almacenando datos en formato binario.

Al estar en binario necesitamos algo para poderlo leer, es ahí donde entra utmpdump, un sencillo programa que nos permite acceder a esa información (hora de inicio, usuario, dirección ip…) desde la terminal como root:

utmpdump /var/log/wtmp

Si lo queremos más resumido podemos utilizar el parámetro head que nos muestra las primeras lineas del archivo (las conexiones más antiguas)

utmpdump /var/log/wtmp | head

o tail otro parámetro, que por el contrario nos muestra las ultimas lineas del archivo (en este caso las conexiones más recientes)

utmpdump /var/log/wtmp | tail

user-linux-terminal3
Es posible que también nos interese ver, los intentos de conexión fallidos, en este caso toca analizar el archivo /var/log/btmp, que es el encargado de almacenar dichos datos.

user-linux-terminal4

Como veis la sintaxis de los comandos son iguales, tan solo substituimos el archivo a analizar:

utmpdump /var/log/btmp
utmpdump /var/log/btmp | tail
utmpdump /var/log/btmp | head

17 pensamientos en “Descubre que usuarios se han conectado a tu sistema Linux o lo han intentado

  1. mat1986

    Interesante, probé con el comando «head» y me mostraba resultados desde el 01 de Junio… raro xD

    Responder
    1. Darkezal

      Por lo que he leído ese comando se supone que pertenecía a una parte de sysvinit-tools, pero que no estaba incluído, y que para poder instalarlo tiene que ser mediante compilación. El enlace al fichero está en este artículo, donde también comentan lo que dije anteriormente:

      http://jessicalitwin.com/index.php/category/linux/

      Responder
  2. orbayo

    Yo he alucinado un poco, tengo una conexión de una ip que sale al lado del kilimanjaro…….. 255.127.0.0

    Responder
    1. orbayo

      [7] [03105] [:0 ] [carlos ] [console ] [:0 ] [255.127.0.0 ] [lun jun 09 12:09:40 2014 ]

      Responder
      1. carbelmi

        Don’t worry, esa me sale a mí también y es mia seguro
        [8] [00000] [ts/0] [ ] [console ] [:0 ] [255.127.0.0 ] [vie jun 06 16:44:27 2014
        Por cierto, he probado en Centos y en OpenSuse y el programa viene por defecto. En Debian no me encuentra el comando.

        Responder
        1. tannhausser Autor

          Te me has adelantado @carbelmi, es tal como tu dices, esa ip corresponde al hostname
          saludos!

          Responder
          1. orbayo

            Muchas gracias compañeros! ahora uno respira más tranquilo 😉

    2. orbayo

      Alguna alma caritativa que sepa algo de esto??
      Habré instalado algún software malicioso desde yast + yump ???

      Responder
  3. Felipe

    Siempre es un placer leer sus artículos aparte de didácticos ayudan a apreciar este gran sistema como lo es Linux.

    Responder
  4. os

    En debian / Ubuntu pueden instalar el paquete acct: sudo apt-get install acct

    acct instala dump-utmp que puede leer ese log mediante: dump-utmp /var/log/wtmp

    Y si no quieren instalar nada, simplemente lanzar el comando: last

    😉

    Responder

Responder a orbayoCancelar respuesta

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.