Есть ли команда, чтобы узнать, входил ли кто-нибудь в систему как один из системных идентификаторов (bin, sshd, rpc и т. Д.)?
Я пробовал last, faillog, ausearch и aureport (это сработало лучше всего), но хотелось бы более подробностей.
Я написал небольшой сценарий bash, который я продолжаю в работе crontab, чтобы узнать, чьи учетные записи нужно отключить из-за отсутствия логинов. Я уверен, что есть способы получше, но это было быстро / легко.
#!/bin/bash
grep users /etc/group | awk -F ":" '{print $4}' | sed 's/,/\
/g' > list
for fn in `cat list`; do lastlog -u $fn | grep Never; done
rm list
echo
lastlog -b 30 | grep -iv Never | awk '{if (NR!=1) {print $1" last logged in on "$5" "$6" at "$7}}'
В вашем случае вы не хотите фильтровать что-либо вроде меня; так не было бы простого
lastlog -b 30
(показать последний месяц) хватит? это приводит к следующему, который говорит мне, что никто не входил в системную учетную запись.
daemon **Never logged in**
bin **Never logged in**
sys **Never logged in**