(Gelöst) Letzten Login eines Benutzers anzeigen

[wengi]

Hi,
ich bin neu hier und das ist mein erster Beitrag. Leider habe ich weder bei Dr. Google noch hier über die Suche etwas gefunden.

Wir haben hier eine ältere SUSE-Installation (8.0) die allerdings extrem gut läuft und auch nicht weiter verändert werden sollte. Allerdings wollten wir demnächst etwas aufräumen. Auf dem Rechner existieren einige Benutzer, die schon länger nicht mehr hier arbeiten. Ich suche nun eine Möglichkeit, mir die letzten Logins der jeweiligen Benutzer anzeigen zu lassen. Danach könnte ich einen Stichtag festlegen und alle Benutzer die sich seit diesem Tag nicht mehr angemeldet haben, würden rausfliegen.

Ich hoffe ihr könnt mir helfen.

wengi

PS: Sollte ich im falschen Unterforum gelandet sein, bitte ich um Entschuldigung und um Verschiebung an den richtigen Ort.

 

[TypeRyder]

AW: Letzten Login eines Benutzers anzeigen

man lastlog

Schau Dir obigen Befehl an, der sollte das richtige für Deine Problemstelllung sein.

 

[wengi]

AW: Letzten Login eines Benutzers anzeigen

man lastlog

Schau Dir obigen Befehl an, der sollte das richtige für Deine Problemstelllung sein.

Danke. Allerdings bekomme ich

/var/log/lastlog: Datei oder Verzeichnis nicht gefunden

Beim Aufruf von "lastlog". Es gibt allerdings ein "lastlog" unter "/usr/bin" bei mir. Allerdings hab ich keine Ahnung wie ich das aufrufen soll weil er immer "/var/log/lastlog" aufruft.

 

[Rain_Maker]

AW: Letzten Login eines Benutzers anzeigen

which lastlog

BTW:

lastlog


Benutzer                Port     Letzter
root                    :0       Mo Nov 27 12:33:04 +0100 2006
bin                              **Nie angemeldet **
daemon                           **Nie angemeldet **
lp                               **Nie angemeldet **
mail                             **Nie angemeldet **
news                             **Nie angemeldet **
uucp                             **Nie angemeldet **
games                            **Nie angemeldet **
man                              **Nie angemeldet **
at                               **Nie angemeldet **
wwwrun                           **Nie angemeldet **
ftp                              **Nie angemeldet **
gdm                              **Nie angemeldet **
postfix                          **Nie angemeldet **
sshd                             **Nie angemeldet **
ntp                              **Nie angemeldet **
mdnsd                            **Nie angemeldet **
messagebus                       **Nie angemeldet **
haldaemon                        **Nie angemeldet **
beagleindex                      **Nie angemeldet **
privoxy                          **Nie angemeldet **
munin                            **Nie angemeldet **
avahi                            **Nie angemeldet **
tor                              **Nie angemeldet **
user1                    :0       Mo Nov 27 12:54:01 +0100 2006
user2                  :0       Mo Aug 21 05:15:29 +0200 2006
user3               :0       Do Aug  3 13:08:36 +0200 2006

(SuSE 10.0)

Greetz,

RM

 

[wengi]

AW: Letzten Login eines Benutzers anzeigen

which lastlog

Gibt mir

/usr/bin/lastlog

Und wie mach ich jetzt weiter...?

 

[Rain_Maker]

AW: Letzten Login eines Benutzers anzeigen

Steht doch da!

lastlog

Greetz,

RM

 

[wengi]

AW: Letzten Login eines Benutzers anzeigen

Steht doch da!

lastlog

Greetz,

RM

Also, ich geb ja zu, dass ich nicht allzu fit unter Linux bzw. Suse bin aber ich versteh halt nicht was ihr mir sagen wollt.

lastlog

gibt mir

/var/log/lastlog: Datei oder Verzeichnis nicht gefunden

Und

which lastlog

gibt mir

/usr/bin/lastlog

Und was "steht doch da" ?

 

[TypeRyder]

AW: Letzten Login eines Benutzers anzeigen

1. Konsole aufmachen
2.

/usr/bin/lastlog

eingeben

3. Wenn das nicht geht, dann poste mal die Ausgabe des Befehls:

ls -l /var/log/

Edit (nach Studium der Manpage): Voraussetzung für den Befehl ist das Vorhandensein der /var/log/lastlog-Datei. Wenn Du diese Datei gelöscht hast oder Dein System die Logins nicht protokolliert, dann hast Du wohl Pech gehabt und mußt zu Rain_Makers Detektivmethode greifen.

 

[Rain_Maker]

AW: Letzten Login eines Benutzers anzeigen

Dann ist das einfach nicht bei Dir so konfiguriert, daß Logins protokolliert werden (syslog.conf) oder SuSE 8.0 hat ein anderes Tool dafür.

Sieht aber eher so aus, als wäre ersteres der Fall, denn die Anwendung "lastlog" existiert ja.

Da kann Dir dann "lastlog" logischerweise auch nicht weiter helfen, wenn es scheinbar nicht aktiviert/konfiguriert ist.

Versuche es mit Detektivarbeit, indem Du die $HOME-Verzeichnisse der jeweiligen User nach den zuletzt geänderten Dateien untersuchst.

Und mit "steht doch da" meinte ich die Beispielausgabe von meinem System, die der Befehl auswirft.

Greetz,

RM

 

[wengi]

AW: Letzten Login eines Benutzers anzeigen

@TypeRyder

kmr95:/ 32 > ls -l /var/log
insgesamt 65644
-rw-r--r--    1 root     root        26046 Nov 23 18:54 XFree86.0.log
-rw-r-----    1 root     root        26467 Mär  2  2005 XFree86.1.log
-rw-r--r--    1 root     root        25284 Nov 23 18:19 boot.msg
-rw-r--r--    1 root     root        26912 Nov 23 18:17 boot.omsg
-rw-------    1 root     root     41398272 Feb  9  2005 dead.letter
-rw-r--r--    1 root     root      2857606 Nov 27 15:09 firewall
drwxr-xr-x    2 root     root           48 Okt 25  2004 httpd
drwxr-xr-x    2 root     root           48 Mär 23  2002 ircd
-rw-r--r--    1 root     root      1163009 Nov 23 18:54 kdm.log
-rw-r--r--    1 root     root          108 Feb 10  2005 localmessages
-rw-r--r--    1 root     root      3527192 Nov 27 15:35 mail
-rw-r--r--    1 root     root       262392 Nov 21  2005 mail-20051121.gz
-rw-r--r--    1 root     root       271943 Dez  4  2005 mail-20051204.gz
-rw-r--r--    1 root     root       259242 Dez 16  2005 mail-20051216.gz
-rw-r--r--    1 root     root       261400 Dez 28  2005 mail-20051228.gz
-rw-r--r--    1 root     root       260977 Jan  9  2006 mail-20060109.gz
-rw-r--r--    1 root     root       261762 Jan 21  2006 mail-20060121.gz
-rw-r--r--    1 root     root       261100 Feb  2  2006 mail-20060202.gz
-rw-r--r--    1 root     root       261564 Feb 14  2006 mail-20060214.gz
-rw-r--r--    1 root     root       268447 Feb 27  2006 mail-20060227.gz
-rw-r--r--    1 root     root       260583 Mär 11  2006 mail-20060311.gz
-rw-r--r--    1 root     root       262832 Mär 23  2006 mail-20060323.gz
-rw-r--r--    1 root     root       263131 Apr  4  2006 mail-20060404.gz
-rw-r--r--    1 root     root       263780 Apr 16  2006 mail-20060416.gz
-rw-r--r--    1 root     root       264997 Apr 28  2006 mail-20060428.gz
-rw-r--r--    1 root     root       265827 Mai 10  2006 mail-20060510.gz
-rw-r--r--    1 root     root       264332 Mai 22  2006 mail-20060522.gz
-rw-r--r--    1 root     root       262502 Jun  3 00:15 mail-20060603.gz
-rw-r--r--    1 root     root       263727 Jun 15 00:15 mail-20060615.gz
-rw-r--r--    1 root     root       264067 Jun 27 00:15 mail-20060627.gz
-rw-r--r--    1 root     root       263646 Jul  9 00:15 mail-20060709.gz
-rw-r--r--    1 root     root       264367 Jul 21 00:15 mail-20060721.gz
-rw-r--r--    1 root     root       264413 Aug  2 00:15 mail-20060802.gz
-rw-r--r--    1 root     root       263281 Aug 14 00:15 mail-20060814.gz
-rw-r--r--    1 root     root       263045 Aug 26 00:15 mail-20060826.gz
-rw-r--r--    1 root     root       264256 Sep  7 00:15 mail-20060907.gz
-rw-r--r--    1 root     root       264807 Sep 19 00:15 mail-20060919.gz
-rw-r--r--    1 root     root       263519 Okt  1 00:15 mail-20061001.gz
-rw-r--r--    1 root     root       263786 Okt 13 00:15 mail-20061013.gz
-rw-r--r--    1 root     root       264684 Okt 25 00:15 mail-20061025.gz
-rw-r--r--    1 root     root       266347 Nov  6 00:15 mail-20061106.gz
-rw-r--r--    1 root     root       264099 Nov 18 00:15 mail-20061118.gz
-rw-r--r--    1 root     root      3054650 Nov 27 15:34 messages
-rw-r--r--    1 root     root       332303 Sep 29  2005 messages-20050929.gz
-rw-r--r--    1 root     root       338453 Jan  6  2006 messages-20060106.gz
-rw-r--r--    1 root     root       336403 Apr  5  2006 messages-20060405.gz
-rw-r--r--    1 root     root       339654 Jul  6 00:14 messages-20060706.gz
-rw-r--r--    1 root     root       338329 Sep 29 00:14 messages-20060929.gz
drwxr-xr-x    4 news     news          184 Okt 25  2004 news
drwx------    2 root     root           48 Mär 23  2002 radacct
drwxr-x---    2 root     root         1256 Nov 27 13:51 samba
drwx------    2 squid    root           48 Mär 25  2002 squid
drwxr-xr-x    2 root     root           48 Mär 27  2002 vbox
-rw-------    1 root     root       246043 Nov 27 13:45 vsftpd.log
-rw-r--r--    1 root     root      1181373 Nov 27 15:35 warn
-rw-r--r--    1 root     root       339370 Nov 25  2005 warn-20051125.gz
-rw-r--r--    1 root     root       329435 Feb  6  2006 warn-20060206.gz
-rw-r--r--    1 root     root       334397 Apr 15  2006 warn-20060415.gz
-rw-r--r--    1 root     root       335916 Jun 24 00:15 warn-20060624.gz
-rw-r--r--    1 root     root       337130 Aug 31 00:15 warn-20060831.gz
-rw-r--r--    1 root     root       342508 Nov  9 00:15 warn-20061109.gz
-rw-r--r--    1 root     root       581264 Nov 27 12:00 y2log
-rw-r--r--    1 root     root      1048931 Apr 20  2006 y2log-1
-rw-r--r--    1 root     root           28 Jul 17 09:07 y2logMount

--> Kein lastlog vorhanden.

Aber wie ja

which lastlog

schon sagte, liegt lastlog auch in /usr/bin

Allerdings gibt mir

/usr/bin/lastlog

oben genannte Fehlermeldung.

@Rain_Maker
Sowas hab ich schon befürchtet. Dann wohl doch Detektiv spielen...

Danke schon mal.

 

[Rain_Maker]

AW: Letzten Login eines Benutzers anzeigen

Das Binary "lastlog" ist zwar vorhanden, aber die Datei /var/log/lastlog, die ausgelesen werden soll leider nicht.

=> Pech gehabt.

Sowas hab ich schon befürchtet. Dann wohl doch Detektiv spielen...

Viel Erfolg, "Sherlock"

Greetz,

RM

 

[TypeRyder]

AW: Letzten Login eines Benutzers anzeigen

Moin wengi,

der Befehl "lastlog" liegt unter "/usr/bin/", dem Standardverzeichnis aller auf userlevel zugänglichen Befehle.
Der Befehl selber wertet dann die Einträge aus der Logdatei "lastlog" aus, die normalerweise unter "/var/log" zu finden ist.

Ps: Gabs bei euch seit Oktobe diesen Jahres was besonderes, das dadurch die Maillogs so angestiegen sind?
Was sagt die syslog.conf bei eurem System? Habt ihr logging irgendwann deaktiviert?
Im Logsystem ist weder die lastlog noch die wtmp-Datei gelistet, so daß keinerlei Meldungen über angemeldete Benutzer stattfinden...

Edit: Als root kannst Du lastlog normalerweise durch folgenden Befehl reaktiveren, falls die Dateien nicht vorhanden sind:

touch /var/log/wtmp

Das ganze sollte dann folgendermaßen aussehen:

ls -l /var/log/wtmp
-rw-rw-r-- 1 root utmp 127488 2006-11-25 12:37 /var/log/wtmp

 

[wengi]

AW: Letzten Login eines Benutzers anzeigen

der Befehl "lastlog" liegt unter "/usr/bin/", dem Standardverzeichnis aller auf userlevel zugänglichen Befehle.
Der Befehl selber wertet dann die Einträge aus der Logdatei "lastlog" aus, die normalerweise unter "/var/log" zu finden ist.

Das hab ich mittlerweile verstanden. Für die zukunft wäre es ganz passabel, wenn ich das aktivieren könnte, dass ab jetzt die Anmeldungen gelogged werden und dann auch in /var/log/lastlog protokolliert. Könnt ihr mir sagen, was ich dazu in die syslog.conf eintragen muss?

Eigentlich war nix Besonderes im Oktober. Ich werd dem aber mal auf den Grund gehen...

 

[TypeRyder]

AW: Letzten Login eines Benutzers anzeigen

Sorry, da hab ich grad editiert, während Du schon wieder getippert hast. Beachte zum reaktivieren bitte den Edit in meinem obigen Post. Und prüf Deine syslog.conf bei Gelegenheit mal, ob da ein spezieller Teil zum Thema wtmp drinsteht. Logrotate sollte die Dateien wtmp und lastlog normalerweise unberührt lassen, sonst kann es da schonmal zu Problemen kommen.

 

[wengi]

AW: Letzten Login eines Benutzers anzeigen

Ok. Hab zwar nix bzgl. Deaktivierung gefunden, aber egal. Jetzt wird wieder mitprotokolliert. Danke nochmal an euch.

 

[Rain_Maker]

AW: Letzten Login eines Benutzers anzeigen

Ist dieser Server eigentlich aus dem WWW erreichbar?

Greetz,

RM

 

[wengi]

AW: Letzten Login eines Benutzers anzeigen

Ist dieser Server eigentlich aus dem WWW erreichbar?

Greetz,

RM

Auf keinen Fall. Das ist "nur" ein Fileserver für unsere Abteilung hier. Und darauf liegen Patientendaten einer Uniklinik...
Also auf keinsten von außen erreichbar.

 

[Rain_Maker]

Für Querleser

Auf keinen Fall. Das ist "nur" ein Fileserver für unsere Abteilung hier. Und darauf liegen Patientendaten einer Uniklinik...
Also auf keinsten von außen erreichbar.

Das ist zumindest ein wenig beruhigend.

1. Ein nach aussen erreichbarer Server mit einem Betriebsystem, welches seit April 2004 nicht mehr offiziell unterstützt wird

http://de.wikipedia.org/wiki/Suse_Linux#Versionen (Einfach Release + 2 Jahre rechnen)

wäre ein unkalkulierbares Sicherheitsrisiko, egal um welches OS es sich handelt.

2. Es lag der Verdacht nahe, daß ein "ungebetener Gast" das Systemverhalten geändert hat, um seine Logins zu verschleiern. Dazu muß dieser Gast allerdings schon Rootrechte erlangt haben und damit wäre das System soweit kompromittiert, daß nur noch ein Neu aufsetzen in Frage käme.

3. Zwar steht die prinzipielle Lösung da, jedoch ließ die Konfiguration des Systems diesen Weg nicht zu.

Das weitere Beobachten seltsamen Systemverhaltens sollte trotzdem in nächster Zeit verstärkt erfolgen, denn die auf dem Server befindlichen Daten scheinen hochsensibel zu sein, nicht daß es sich um einen "ungebetenen" Gast aus dem eigenen Hause (LAN) handelt.

Greetz,

RM

P.S.

Da die prinzipielle Lösung des Problems "Wo finde ich die letzten Logins der Benutzer" hier erörtert wurde und nur in diesem Fall aufgrund der Systemkonfiguration nicht erfolgreich war, schließe ich hier.