Cómo rastrear los inicios de sesión de usuarios en Linux

Compartir en Pinterest Compartir en LinkedIn Compartir en WhatsApp

La administración y seguridad de sistemas Linux requieren un control detallado de las actividades de los usuarios. Rastrear los inicios de sesión es fundamental para monitorizar el uso del sistema, detectar accesos no autorizados y cumplir con políticas de auditoría. A continuación, se presentan métodos y herramientas esenciales para realizar un seguimiento efectivo de los inicios de sesión de usuarios en Linux.

1. Comando last: Historial de inicios de sesión

El comando last muestra un listado de los usuarios que han iniciado y cerrado sesión recientemente.

last

Este comando lee el archivo /var/log/wtmp y proporciona información como el nombre de usuario, la terminal utilizada, la dirección IP de origen y la fecha y hora de inicio y cierre de sesión.

  • Filtrar por usuario específico:
    last nombre_usuario
  • Mostrar reinicios del sistema:
    last reboot

2. Comando who: Usuarios actualmente conectados

Para saber quiénes están conectados en tiempo real:

who

Este comando muestra los usuarios con sesión activa, incluyendo la terminal y la hora de inicio de sesión.

3. Comando w: Información detallada de usuarios activos

El comando w ofrece una visión más completa de los usuarios actualmente conectados y sus actividades.

w

Proporciona datos como el tiempo de inactividad, el uso de CPU y el proceso que están ejecutando.

4. Archivo /var/log/auth.log o /var/log/secure

Los archivos de registro del sistema almacenan eventos relacionados con la autenticación.

  • En sistemas basados en Debian/Ubuntu:
    sudo tail /var/log/auth.log
  • En sistemas basados en Red Hat/CentOS/Fedora:
    sudo tail /var/log/secure

Estos registros incluyen intentos de inicio de sesión exitosos y fallidos, así como actividades relacionadas con sudo.

5. Utilizar lastlog para ver el último inicio de sesión

El comando lastlog muestra el último inicio de sesión de todos los usuarios del sistema.

lastlog

Para un usuario específico:

lastlog -u nombre_usuario

6. Monitorear en tiempo real con journalctl

En sistemas con systemd, journalctl permite revisar registros del sistema.

  • Ver inicios de sesión recientes:
    sudo journalctl _COMM=sshd
  • Filtrar por fecha:
    sudo journalctl --since "2024-09-16 00:00:00" --until "2024-09-16 23:59:59" _COMM=sshd

7. Implementar herramientas de auditoría

  • Auditd: Es un demonio que registra eventos de seguridad en el sistema.
    • Instalación:
      sudo apt-get install auditd # Para Debian/Ubuntu
      sudo dnf install auditd # Para Fedora
    • Configuración para monitorear inicios de sesión: El archivo de configuración se encuentra en /etc/audit/audit.rules.
  • Ossec: Una herramienta de detección de intrusiones que monitoriza actividades sospechosas.

8. Configurar notificaciones de inicio de sesión

Para recibir alertas cada vez que un usuario inicia sesión, se puede modificar el archivo de perfil del shell.

  • Agregar al archivo /etc/profile:
    echo 'Alerta: Inicio de sesión de usuario $(whoami) desde $(echo $SSH_CLIENT | awk "{ print $1}") el $(date)' | mail -s "Alerta de inicio de sesión" admin@tu_dominio.com

Este script envía un correo electrónico al administrador cada vez que un usuario inicia sesión.

9. Utilizar pam_tty_audit para auditoría detallada

El módulo PAM pam_tty_audit permite registrar todas las entradas de teclado de los usuarios.

  • Activación:Editar /etc/pam.d/sshd y añadir:
    session required pam_tty_audit.so enable=* log_passwd

10. Análisis con herramientas de terceros

  • Logwatch: Genera informes diarios de los registros del sistema.
    • Instalación:
      sudo apt-get install logwatch # Para Debian/Ubuntu
      sudo dnf install logwatch # Para Fedora
  • Splunk o Graylog: Plataformas avanzadas para el análisis y visualización de registros.

Consideraciones de seguridad

  • Protección de datos: Al almacenar y analizar registros de actividad de usuarios, es importante cumplir con las normativas de privacidad y protección de datos.
  • Acceso restringido: Solo administradores autorizados deben tener acceso a los registros y herramientas de monitorización.

Rastrear los inicios de sesión de usuarios en Linux es esencial para mantener la seguridad y el buen funcionamiento del sistema. Mediante el uso de comandos integrados y herramientas adicionales, los administradores pueden monitorizar eficazmente la actividad de los usuarios, detectar anomalías y responder rápidamente a posibles amenazas. Una gestión proactiva y consciente de los registros contribuye a fortalecer la integridad y confiabilidad del entorno Linux.

Referencias

  • Manual de comandos: Utilizar man seguido del comando (por ejemplo, man last) para obtener más información.
  • Guías de seguridad de Linux: Documentación oficial y comunidades en línea ofrecen recursos adicionales sobre prácticas recomendadas.
  • Políticas de privacidad: Asegurarse de cumplir con las leyes y regulaciones locales respecto al monitoreo y almacenamiento de datos de usuarios.
Compartir en Pinterest Compartir en LinkedIn Compartir en WhatsApp

Suscríbete al boletín SysAdmin

Este es tu recurso para las últimas noticias y consejos sobre administración de sistemas, Linux, Windows, cloud computing, seguridad de la nube, etc. Lo enviamos 2 días a la semana.

¡Apúntate a nuestro newsletter!

– patrocinadores –
banner-cloud-privado-stackscale_w_animado

Noticias destacadas

– patrocinadores –

¡SUSCRÍBETE AL BOLETÍN
DE LOS SYSADMINS!

Noticias relacionadas

Artículos patrocinados     Servicio de Diseño web     Contacto     Acerca de MyR

© Copyright 1995-2024 Color Vivo Internet, SLU. Otros contenidos se cita fuente. Infraestructura cloud servidores dedicados de Stackscale.

Scroll al inicio