Giới thiệu
Trong lab này, chúng ta sẽ khám phá lệnh lastb của Linux, được sử dụng để hiển thị thông tin về các nỗ lực đăng nhập thất bại trên hệ thống. Lệnh lastb cung cấp những hiểu biết có giá trị về các mối đe dọa an ninh tiềm ẩn và hoạt động của người dùng, giúp các systemadmin và các chuyên gia bảo mật giám sát hệ thống hiệu quả hơn.
Chúng ta sẽ bắt đầu bằng cách hiểu mục đích của lệnh lastb, sau đó đi sâu vào cú pháp và các tùy chọn có sẵn của nó. Cuối cùng, chúng ta sẽ phân tích đầu ra của lệnh lastb để xác định các mẫu của các nỗ lực đăng nhập thất bại và thực hiện các hành động thích hợp để bảo mật hệ thống.
Tìm hiểu Mục đích của Lệnh lastb
Trong bước này, chúng ta sẽ khám phá mục đích của lệnh lastb trong Linux. Lệnh lastb được sử dụng để hiển thị thông tin về các nỗ lực đăng nhập thất bại trên hệ thống.
Lệnh lastb cung cấp thông tin có giá trị có thể giúp các systemadmin và các chuyên gia bảo mật xác định các mối đe dọa an ninh tiềm ẩn và giám sát hoạt động của người dùng trên hệ thống.
Hãy bắt đầu bằng cách chạy lệnh lastb:
sudo lastbVí dụ đầu ra:
labex tty1 Fri Apr 14 12:34:56 2023 - Fri Apr 14 12:35:01 2023 (00:00)
root tty1 Fri Apr 14 12:33:51 2023 - Fri Apr 14 12:34:01 2023 (00:00)
labex tty1 Fri Apr 14 12:32:46 2023 - Fri Apr 14 12:33:01 2023 (00:00)
root tty1 Fri Apr 14 12:31:41 2023 - Fri Apr 14 12:32:01 2023 (00:00)Đầu ra hiển thị tên người dùng, terminal, thời gian đăng nhập và thời lượng của các nỗ lực đăng nhập thất bại. Thông tin này có thể được sử dụng để xác định các mẫu của các nỗ lực đăng nhập thất bại, điều này có thể cho thấy một nỗ lực vi phạm an ninh hoặc truy cập trái phép vào hệ thống.
Khám phá Cú pháp và Tùy chọn của Lệnh lastb
Trong bước này, chúng ta sẽ khám phá cú pháp và các tùy chọn có sẵn của lệnh lastb.
Cú pháp cơ bản của lệnh lastb là:
sudo lastb [options] [username]Dưới đây là một số tùy chọn phổ biến cho lệnh lastb:
-a: Hiển thị hostname hoặc địa chỉ IP của host từ xa.-d: Hiển thị chi tiết của phiên đăng nhập, bao gồm tên terminal và thời gian đăng nhập/đăng xuất.-f: Hiển thị tên người dùng đầy đủ, bao gồm tên miền.-n <number>: Hiển thị<number>nỗ lực đăng nhập thất bại gần đây nhất.-p: Hiển thị PID (process ID) của tiến trình đăng nhập.-R: Đảo ngược thứ tự của đầu ra, hiển thị các nỗ lực đăng nhập thất bại gần đây nhất trước.
Hãy thử một số tùy chọn này:
## Hiển thị 5 nỗ lực đăng nhập thất bại gần đây nhất với chi tiết
sudo lastb -d -n 5
## Hiển thị các nỗ lực đăng nhập thất bại với hostname hoặc địa chỉ IP
sudo lastb -a
## Đảo ngược thứ tự của đầu ra
sudo lastb -RVí dụ đầu ra:
labex tty1 Fri Apr 14 12:34:56 2023 - Fri Apr 14 12:35:01 2023 (00:00)
root tty1 Fri Apr 14 12:33:51 2023 - Fri Apr 14 12:34:01 2023 (00:00)
labex tty1 Fri Apr 14 12:32:46 2023 - Fri Apr 14 12:33:01 2023 (00:00)
root tty1 Fri Apr 14 12:31:41 2023 - Fri Apr 14 12:32:01 2023 (00:00)
labex tty1 Fri Apr 14 12:30:36 2023 - Fri Apr 14 12:31:01 2023 (00:00)Đầu ra hiển thị các thông tin khác nhau có thể thu được bằng cách sử dụng các tùy chọn khác nhau của lệnh lastb.
Phân tích Các Nỗ lực Đăng nhập Thất bại Sử dụng Lệnh lastb
Trong bước cuối cùng này, chúng ta sẽ tìm hiểu cách phân tích thông tin được cung cấp bởi lệnh lastb để xác định các vấn đề bảo mật tiềm ẩn và giám sát hoạt động của người dùng trên hệ thống.
Đầu tiên, hãy tạo thêm một số nỗ lực đăng nhập thất bại để có thêm dữ liệu để phân tích:
## Mô phỏng một số nỗ lực đăng nhập thất bại
for i in {1..5}; do
sudo su - -c "echo 'wrong password' | su - labex"
doneBây giờ, hãy sử dụng lệnh lastb để phân tích các nỗ lực đăng nhập thất bại:
## Hiển thị 10 nỗ lực đăng nhập thất bại gần đây nhất
sudo lastb -n 10Ví dụ đầu ra:
labex tty1 Fri Apr 14 12:34:56 2023 - Fri Apr 14 12:35:01 2023 (00:00)
root tty1 Fri Apr 14 12:33:51 2023 - Fri Apr 14 12:34:01 2023 (00:00)
labex tty1 Fri Apr 14 12:32:46 2023 - Fri Apr 14 12:33:01 2023 (00:00)
root tty1 Fri Apr 14 12:31:41 2023 - Fri Apr 14 12:32:01 2023 (00:00)
labex tty1 Fri Apr 14 12:30:36 2023 - Fri Apr 14 12:31:01 2023 (00:00)
labex tty1 Fri Apr 14 12:29:31 2023 - Fri Apr 14 12:30:01 2023 (00:00)
root tty1 Fri Apr 14 12:28:26 2023 - Fri Apr 14 12:29:01 2023 (00:00)
labex tty1 Fri Apr 14 12:27:21 2023 - Fri Apr 14 12:28:01 2023 (00:00)
root tty1 Fri Apr 14 12:26:16 2023 - Fri Apr 14 12:27:01 2023 (00:00)
labex tty1 Fri Apr 14 12:25:11 2023 - Fri Apr 14 12:26:01 2023 (00:00)Từ đầu ra, chúng ta có thể thấy rằng có một số nỗ lực đăng nhập thất bại cho cả người dùng labex và root. Điều này có thể cho thấy một nỗ lực vi phạm an ninh hoặc truy cập trái phép vào hệ thống.
Để phân tích thêm các nỗ lực đăng nhập thất bại, chúng ta có thể sử dụng lệnh lastb với các tùy chọn bổ sung:
## Hiển thị các nỗ lực đăng nhập thất bại với hostname hoặc địa chỉ IP
sudo lastb -a
## Hiển thị các nỗ lực đăng nhập thất bại theo thứ tự ngược lại
sudo lastb -RBằng cách phân tích đầu ra của lệnh lastb, bạn có thể xác định các mẫu của các nỗ lực đăng nhập thất bại, chẳng hạn như tên người dùng, terminal và thời gian của các nỗ lực. Thông tin này có thể giúp bạn thực hiện các biện pháp bảo mật thích hợp để bảo vệ hệ thống của mình.
Tóm tắt
Trong lab này, chúng ta đã khám phá mục đích và cách sử dụng của lệnh lastb trong Linux. Lệnh lastb được sử dụng để hiển thị thông tin về các nỗ lực đăng nhập thất bại trên hệ thống, điều này có thể giúp các systemadmin và các chuyên gia bảo mật xác định các mối đe dọa an ninh tiềm ẩn và giám sát hoạt động của người dùng.
Chúng ta đã học cách chạy lệnh lastb để xem tên người dùng, terminal, thời gian đăng nhập và thời lượng của các nỗ lực đăng nhập thất bại. Chúng ta cũng đã khám phá các tùy chọn khác nhau cho lệnh lastb, chẳng hạn như hiển thị hostname hoặc địa chỉ IP của host từ xa, chi tiết của phiên đăng nhập và số lượng nỗ lực đăng nhập thất bại gần đây nhất. Các tính năng này cung cấp thông tin có giá trị để phân tích và điều tra các sự cố bảo mật trên hệ thống.