本文以Red Hat Enterprise Linux release 8.1 (Ootpa) 为例 ,应该也能适用于7.x版本的
如果对操作系统中的账号审计,其中有一个项目可能会比较重要(尤其是对于个人账号),那就是最后一次登录的记录
如果需要查看每一个OS账号的最后一次登录记录,可以使用lastlog命令
[qq-5201351@localhost ~]$ lastlog Username Port From Latest root pts/1 Sun Apr 30 12:30:40 +0800 2023 bin **Never logged in** ec2-user pts/0 43.81.224.231 Sun Apr 30 12:21:43 +0800 2023
此命令实际是读取的/var/log/lastlog,因为这个文件的属主/组和权限默认如下,一般使用普通用户也是可以执行lastlog的(系统特殊加固的可能不行):
-rw-rw-r--. 1 root utmp 293460 Apr 30 12:30 /var/log/lastlog
如果此文件,被删除,笔者测试只有使用普通用户su - root 后,文件又会被创建,(直接普通用户或者直接使用root用户ssh登录,都不会自动创建)
只是这样创建的用户、有可能权限,属组会有变化,只有等到下次重启OS,才会恢复成root:utmp