Isso depende muito de qual distribuição / sistema operacional você está usando:
-
O Fedora 20 e o RHEL7 usam
systemd
, então todas as ações de login / logout podem ser visualizadas usandojournalctl
:Jul 17 11:14:08 pris.crapsteak.org login[23256]: pam_unix(login:session): session opened for user root by LOGIN(uid=0) Jul 17 11:14:08 pris.crapsteak.org login[23256]: ROOT LOGIN ON tty2 Jul 17 11:14:26 pris.crapsteak.org login[23256]: pam_unix(login:session): session closed for user root
-
No RHEL6, essas ações são registradas em
/var/log/auth.log
.
Para uma configuração específica para auditd
, confira a excelente introdução à auditoria sistema por Scott Pack , a partir da configuração de exemplo nesse artigo:
-w /var/run/utmp -p wa -k session
-w /var/log/wtmp -p wa -k session
-w /var/log/btmp -p wa -k session
The next three files (utmp, wtmp, btmp) store the current login state of each user, login/logout history, and failed login attempts respectively. So monitoring these will let us know any time an account is used, or failed login attempt, or more specifically whenever these files get changed which will include malicious covering of tracks.