¿Quien se loga a mi pobre PC?

Hace poco hemos visto como conectar por SSH a nuestro ordenador, y hace algún tiempo vimos como usarlo como servidor de ficheros mediante SAMBA. He llegado el momento de echarle un ojo a nuestros logs para ver quien se conecta y cuando.

Pero más importante aun será ver quien no se conecta a pesar de intentarlo. Tal vez tenemos un amigo que perdió la contraseña de SSH... o que esta intentando acceder sin permiso.

Lo primero que vamos a ver, es sencillamente quien ha realizado los últimos inicios de sesión en nuestro equipo, es decir, quien se ha logado. Para ello en la terminal sencillamente tecleamos:

• last

Aquí nos indica quien esta logado ahora mismo (logged in) y quien se ha logado y desconectado, indicándonos el tiempo total que ha durado la sesión.

Pero no nos vamos a quedar aquí. Generalmente en casa podemos controlar quien se loga y quien no con relativa facilidad. Lo dificil es quien lo hace por SSH. Para ello en la terminal pondremos:

• sudo cat /var/log/auth.log | grep sshd

De igual manera, si cambiamos el demonio sshd por el demonio de Samba, smbd, lo que obtendremos sera la lista de accesos a los datos compartidos mediante Samba

• sudo cat /var/log/auth.log | grep smbd

Y una parte interesante es ver quien no puede acceder. Como decíamos antes, puede que su contraseña este caduca, que la haya olvidado ¡o que estén tratando de acceder sin permiso!

• sudo cat /var/log/auth.log | grep Failed

Como puedes ver, alguien está tratando de logarse como Root por SSH. Afortunadamente SSH esta configurado para que Root no pueda conectarse. Más afortunadamente todavía esos intentos de conexión los he realizado yo para ilustrar el tutorial.

Y hasta aquí mis pocos conocimientos de seguridad, que comparto con vosotros.