Tidadigi Logo

Lệnh lastb trong linux

Tìm hiểu lệnh lastb trong Linux: Theo dõi các lần đăng nhập thất bại

Trong thế giới bảo mật hệ thống Linux, việc theo dõi các nỗ lực đăng nhập thất bại là vô cùng quan trọng. Lệnh lastb chính là công cụ giúp bạn thực hiện điều này một cách dễ dàng và hiệu quả. Bài viết này sẽ cung cấp cho bạn cái nhìn tổng quan về lệnh lastb, cách sử dụng, các tùy chọn phổ biến và những ví dụ thực tế để bạn có thể áp dụng ngay vào công việc hàng ngày.

Lệnh lastb là gì?

Lệnh lastb được sử dụng để hiển thị danh sách các lần đăng nhập không thành công vào hệ thống Linux. Thông tin này được lấy từ file /var/log/btmp, nơi hệ thống lưu trữ nhật ký về các lần đăng nhập thất bại. Bằng cách phân tích thông tin này, bạn có thể phát hiện các nỗ lực xâm nhập trái phép và kịp thời có biện pháp phòng ngừa.

Cú pháp cơ bản của lệnh lastb

Cú pháp của lệnh lastb rất đơn giản:

lastb [tùy chọn] [tên người dùng] [tty]

Trong đó:

  • tùy chọn: Các tùy chọn để điều chỉnh đầu ra của lệnh.
  • tên người dùng: Tên người dùng bạn muốn lọc kết quả.
  • tty: Tên terminal (ví dụ: tty1, pts/0) bạn muốn lọc kết quả.

Các tùy chọn phổ biến của lệnh lastb

Lệnh lastb cung cấp nhiều tùy chọn để bạn có thể tùy chỉnh kết quả hiển thị. Dưới đây là một số tùy chọn phổ biến nhất:

  • -n hoặc --number: Hiển thị số lượng bản ghi được chỉ định. Ví dụ: lastb -n 10 sẽ hiển thị 10 bản ghi gần nhất.
  • -f: Chỉ định file nhật ký khác thay vì file mặc định /var/log/btmp.
  • -t: Hiển thị các bản ghi trước thời điểm chỉ định. Ví dụ: lastb -t 20231027 sẽ hiển thị các bản ghi trước ngày 27/10/2023.
  • -i: Hiển thị địa chỉ IP của máy chủ đăng nhập.
  • -d: Chuyển đổi địa chỉ IP thành tên máy chủ.

Ví dụ về cách sử dụng lệnh lastb

Để hiểu rõ hơn về cách sử dụng lệnh lastb, hãy cùng xem một vài ví dụ sau:

  1. Hiển thị tất cả các lần đăng nhập thất bại: 
    lastb
  2. Hiển thị 10 lần đăng nhập thất bại gần nhất: 
    lastb -n 10
  3. Hiển thị các lần đăng nhập thất bại của người dùng "john": 
    lastb john
  4. Hiển thị các lần đăng nhập thất bại trước ngày 27/10/2023: 
    lastb -t 20231027
  5. Hiển thị địa chỉ IP của máy chủ đăng nhập: 
    lastb -i

Ứng dụng thực tế của lệnh lastb

Lệnh lastb không chỉ là một công cụ xem nhật ký đơn thuần. Nó có thể được sử dụng trong nhiều tình huống thực tế để tăng cường bảo mật hệ thống:

  • Phát hiện tấn công Brute-Force: Nếu bạn thấy một lượng lớn các lần đăng nhập thất bại từ một địa chỉ IP cụ thể trong một khoảng thời gian ngắn, đó có thể là dấu hiệu của một cuộc tấn công brute-force.
  • Kiểm tra bảo mật hệ thống: Sử dụng lastb để kiểm tra xem có ai đang cố gắng truy cập trái phép vào hệ thống của bạn hay không.
  • Điều tra sự cố: Khi có sự cố xảy ra, lastb có thể giúp bạn xác định xem có ai đã cố gắng đăng nhập vào hệ thống trước khi sự cố xảy ra hay không.
  • Giám sát hoạt động của người dùng: Theo dõi các lần đăng nhập thất bại của một người dùng cụ thể để phát hiện các hành vi đáng ngờ.

So sánh lệnh lastb với các lệnh tương tự

Ngoài lastb, Linux còn cung cấp một số lệnh khác để theo dõi hoạt động đăng nhập. Dưới đây là bảng so sánh giữa lastb và một số lệnh phổ biến khác:

Lệnh Mô tả File nhật ký
lastb Hiển thị các lần đăng nhập thất bại. /var/log/btmp
last Hiển thị các lần đăng nhập thành công và thất bại. /var/log/wtmp hoặc /var/log/utmp
faillog Hiển thị và quản lý thông tin về các lần đăng nhập thất bại của người dùng. /var/log/faillog

FAQ (Câu hỏi thường gặp)

  1. Tại sao tôi không thấy bất kỳ thông tin nào khi chạy lệnh lastb?

    Có thể file /var/log/btmp chưa được tạo hoặc không có bản ghi đăng nhập thất bại nào. Hãy thử kiểm tra lại cấu hình hệ thống của bạn.

  2. Làm thế nào để xóa các bản ghi trong file /var/log/btmp?

    Bạn có thể sử dụng lệnh truncate -s 0 /var/log/btmp để xóa tất cả các bản ghi. Tuy nhiên, hãy cẩn thận khi thực hiện thao tác này vì nó sẽ xóa toàn bộ lịch sử đăng nhập thất bại.

  3. Làm thế nào để cấu hình hệ thống để ghi lại các lần đăng nhập thất bại?

    Thông thường, hệ thống Linux đã được cấu hình sẵn để ghi lại các lần đăng nhập thất bại. Tuy nhiên, bạn có thể kiểm tra lại cấu hình trong file /etc/pam.d/common-auth và đảm bảo rằng module pam_faillock.so được kích hoạt.

  4. Lệnh lastb có thể bị lợi dụng để che giấu dấu vết xâm nhập không?

    Về lý thuyết là có thể nếu kẻ tấn công có quyền root và xóa hoặc sửa đổi file /var/log/btmp. Tuy nhiên, đây là một hành động để lại dấu vết và có thể bị phát hiện nếu hệ thống giám sát nhật ký được cấu hình tốt.

  5. Có công cụ nào tốt hơn lastb để theo dõi các nỗ lực đăng nhập trái phép không?

    Có, có rất nhiều công cụ giám sát và phân tích nhật ký mạnh mẽ hơn lastb, như fail2ban, OSSEC, hoặc các SIEM (Security Information and Event Management) solutions. Tuy nhiên, lastb vẫn là một công cụ đơn giản và hữu ích để kiểm tra nhanh các nỗ lực đăng nhập thất bại.

Kết luận

Lệnh lastb là một công cụ hữu ích để theo dõi các lần đăng nhập thất bại trên hệ thống Linux. Bằng cách sử dụng lệnh này một cách hiệu quả, bạn có thể phát hiện các nỗ lực xâm nhập trái phép và tăng cường bảo mật cho hệ thống của mình. Hãy nhớ rằng, việc giám sát nhật ký là một phần quan trọng của việc bảo trì và bảo mật hệ thống Linux.

Last Updated : 20/08/2025