Die Datei
»/var/log/lastlog
«
speichert die Login-Aktionen. Der zugehörige Befehl
»lastlog
«
gibt eine vollständige Liste aller im System vorhandenen Benutzer aus. Das schließt solche Konten ein, die nur von speziellen Daemons verwendet werden, beispielsweise
»syslog
«
; gelöschte Benutzer erscheinen nicht mehr.
Für jeden Benutzer gibt
»lastlog
«
die verwendete Schnittstelle an, also etwa
»tty
«
für ein lokales Terminal oder
»pty
«
für ein Pseudo-Terminal wie beim SSH-Login übers Netzwerk. Dahinter erscheint das Datum des letzten Logins oder
»Noch nie angemeldet
«
, falls sich ein User mindestens seit der letzten Passwortänderung nicht eingeloggt hat.
Der Parameter
»-u
«
oder
»--user
«
beschränkt die Ausgabeliste auf einen bestimmten Benutzer. Das Argument nimmt statt eines Benutzernamens auch einen Bereich von Benutzer-IDs entgegen:
root@nanday:~# lastlog -u1000-1005 Benutzername Port Von Letzter bruce **Noch nie angemeldet**bb tty2 Mo Nov 18 16:51:33 +0100 2013
Die Ergebnisse lassen sich auch mit
»-b
«
oder
»--before
«
anpassen. Damit gibt
»lastlog
«
nur Einträge aus, die mindestens eine bestimmte Anzahl von Tagen zurückliegen. Als Gegenstück dazu dient
»-t
«
oder
»--time
«
, woraufhin nur Einträge auftauchen, die weniger als die angegebene Anzahl von Tagen zurückliegen.
Die Datenbank in
»/var/log/faillog
«
speichert die fehlgeschlagenen Login-Versuche aller Benutzer. Das zugehörige Kommando
»faillog
«
hat zwei Ausgabemodi. Zunächst gibt es die Fehlversuche mit Anzahl und letzten Datum aus, mit
»-a
«
für alle und mit
»-u
«
für einen bestimmten Benutzer. Diese Statistiken weisen den Administrator etwa auf Einbruchsversuche hin oder zeigen ihm an, dass er automatisch gesperrte Benutzerkonten gegebenenfalls reaktivieren muss.
root@nanday:~# faillog -u bruce Login Fehlver. Maximum Letzter Auf bruce 0 0 01/01/70 01:00:00 +0100
Falls es für einen Benutzer noch keinen gescheiterten Login-Versuch gab, erscheint als Datum die früheste dem System bekannte Zeit, normalerweise
»01/01/70 01:00:00 +0100
«
.
Eine automatische Sperrung ordnet man mit
»faillog -m
«
und einer Zahl an. Erreicht die Zahl der fehlgeschlagenen Login-Versuche für einen Account diese Anzahl, sperrt das System den Account. Diese Zahl stellen die meisten Distributionen auf 0 und damit die automatische Sperrung ab. Die Option
»-r
«
oder
»--reset
«
setzt die Hürde für ein bestimmtes Benutzerkonto auf 0.