Знаете ли вы, что даже после завершения SSH-сессии информация о вашем взаимодействии с системой не исчезает бесследно? Linux тщательно ведет журналы, которые могут стать бесценным источником данных для системных администраторов и специалистов по цифровой криминалистике.

Эти системные журналы играют ключевую роль в мониторинге безопасности и анализе инцидентов. Вот основные из них, которые фиксируют активность входа в систему:

• /var/log/wtmp — Хранит историю успешных входов и выходов из системы. Он содержит записи о пользователях, терминалах, IP-адресах и длительности сессий.
• /var/log/btmp — Записывает все неудачные попытки входа в систему, включая попытки подбора паролей (брутфорс). Это важный источник информации для выявления потенциальных атак.
• /var/log/lastlog — Содержит информацию о последнем входе каждого пользователя в систему. Для каждого пользователя отображается имя, терминал, IP-адрес и время последнего входа.

Что специалисты по цифровой криминалистике могут извлечь из этих журналов?

Анализируя эти файлы, можно получить детальное представление об активности пользователей и потенциальных угрозах:

• Успешные логины: Точное время, дата и продолжительность каждой успешной SSH-сессии.
• Неудачные попытки входа: Фиксация всех неудачных попыток, включая IP-адреса злоумышленников, что позволяет выявлять атаки методом перебора (brute-force).
• Исходные IP-адреса: Откуда происходили подключения, как успешные, так и неудачные.
• Длительность сессий: Сколько времени пользователь провел в системе.
• Используемые учётные записи: Какие пользователи входили или пытались войти в систему.

Таким образом, даже после того, как вы отключились от SSH-сессии, Linux продолжает вести подробный учёт ваших действий. Эти данные критически важны для аудита безопасности, выявления несанкционированного доступа и проведения расследований инцидентов. Понимание работы этих журналов — неотъемлемая часть профессионализма DevOps-инженера и системного администратора.