1) do auth.log, como posso dizer que o "sucesso su" foi por mim, não por hackers que possam ter obtido minhas informações de login?
Isso quebraria o significado dos arquivos de log. Como o seu sistema deve saber se é um hacker, que teve sucesso?
2) Como filtrar o arquivo auth.log para que ele relata sucintamente quais usuário logado com sucesso, por quanto tempo e de onde?
É para isso que serve o programa last
. Ele analisa os arquivos /var/log/wmtp
e /var/log/utmp
, que contêm essas informações. Veja:
user@host:~$ last
root pts/0 1.2.3.4 Fri Apr 4 07:59 still logged in
root pts/5 1.2.3.4 Wed Apr 2 15:58 - 17:00 (01:02)
root pts/0 1.2.3.4 Wed Apr 2 07:39 - 16:15 (08:36)
root pts/0 1.2.3.4 Tue Apr 1 07:39 - 16:00 (08:20)
Além disso, você pode analisar os arquivos wtmp
e utmp
mais antigos com a opção -f
: last -f /var/log/wtmp.1
.
3) Existe um arquivo de log para verificar o que os hackers fizeram?
Veja a pergunta 1). Quando um hacker obtém acesso ao seu sistema, é uma autenticação bem-sucedida. Então o sistema não sabe que é um hacker. Tudo o que você pode fazer é pesquisar em /var/log/*
para rastreamentos.