Descubre que usuarios se han conectado a tu sistema Linux o lo han intentado

user-linux-terminal

El archivo /var/log/wtmp mantiene en GNU/Linux un registro de todas las conexiones y desconexiones del sistema. Cada vez que un usuario se conecta, se inicia o se apaga el sistema, dicho archivo se actualiza y va aumentando en tamaño, almacenando datos en formato binario.

Al estar en binario necesitamos algo para poderlo leer, es ahí donde entra utmpdump, un sencillo programa que nos permite acceder a esa información (hora de inicio, usuario, dirección ip…) desde la terminal como root:

utmpdump /var/log/wtmp

Si lo queremos más resumido podemos utilizar el parámetro head que nos muestra las primeras lineas del archivo (las conexiones más antiguas)

utmpdump /var/log/wtmp | head

o tail otro parámetro, que por el contrario nos muestra las ultimas lineas del archivo (en este caso las conexiones más recientes)

utmpdump /var/log/wtmp | tail

user-linux-terminal3
Es posible que también nos interese ver, los intentos de conexión fallidos, en este caso toca analizar el archivo /var/log/btmp, que es el encargado de almacenar dichos datos.

user-linux-terminal4

Como veis la sintaxis de los comandos son iguales, tan solo substituimos el archivo a analizar:

utmpdump /var/log/btmp
utmpdump /var/log/btmp | tail
utmpdump /var/log/btmp | head

17 thoughts on “Descubre que usuarios se han conectado a tu sistema Linux o lo han intentado”

  1. mat1986 says:

    Interesante, probé con el comando “head” y me mostraba resultados desde el 01 de Junio… raro xD

    1. orbayo says:

      a mi también y resulta que reinstalé todo hace dos semanas xD

  2. Anibal says:

    que paquete hay q instalar en ubuntu para q venga ese comando ?

    1. Darkezal says:

      Por lo que he leído ese comando se supone que pertenecía a una parte de sysvinit-tools, pero que no estaba incluído, y que para poder instalarlo tiene que ser mediante compilación. El enlace al fichero está en este artículo, donde también comentan lo que dije anteriormente:

      http://jessicalitwin.com/index.php/category/linux/

      1. Darkezal says:

        Perdona me equivoque te puse el enlace general el específico es este:

        http://jessicalitwin.com/index.php/2014/05/mosh-utmpdump-and-profanity/

        1. Anibal says:

          muchas gracias ! voy a leerlo

  3. orbayo says:

    Yo he alucinado un poco, tengo una conexión de una ip que sale al lado del kilimanjaro…….. 255.127.0.0

    1. orbayo says:

      [7] [03105] [:0 ] [carlos ] [console ] [:0 ] [255.127.0.0 ] [lun jun 09 12:09:40 2014 ]

      1. carbelmi says:

        Don’t worry, esa me sale a mí también y es mia seguro
        [8] [00000] [ts/0] [ ] [console ] [:0 ] [255.127.0.0 ] [vie jun 06 16:44:27 2014
        Por cierto, he probado en Centos y en OpenSuse y el programa viene por defecto. En Debian no me encuentra el comando.

        1. tannhausser says:

          Te me has adelantado @carbelmi, es tal como tu dices, esa ip corresponde al hostname
          saludos!

          1. orbayo says:

            Muchas gracias compañeros! ahora uno respira más tranquilo 😉

        2. orbayo says:

          Muchas gracias compañeros! ahora uno respira más tranquilo 😉

    2. orbayo says:

      Alguna alma caritativa que sepa algo de esto??
      Habré instalado algún software malicioso desde yast + yump ???

  4. aldobelus says:

    Interesante…más gracias!

    1. tannhausser says:

      🙂

  5. Felipe says:

    Siempre es un placer leer sus artículos aparte de didácticos ayudan a apreciar este gran sistema como lo es Linux.

  6. os says:

    En debian / Ubuntu pueden instalar el paquete acct: sudo apt-get install acct

    acct instala dump-utmp que puede leer ese log mediante: dump-utmp /var/log/wtmp

    Y si no quieren instalar nada, simplemente lanzar el comando: last

    😉

Deja un comentario