Alex Ruben
Cómo ver el historial de inicio de sesión en Linux y Ubuntu
Si usas Ubuntu, es un poco extraño que los registros no siempre muestren todo de forma clara y directa. A veces, necesitas revisar la Terminal y familiarizarte con el proceso de forma manual. Quizás intentas ver si alguien inició sesión mientras no estabas, o simplemente tienes curiosidad por los accesos recientes. Sea cual sea el motivo, esta guía recopila todos los comandos y trucos comunes para revisar el historial de inicio de sesión (incluyendo inicios de sesión exitosos e intentos fallidos) para que tengas una idea más clara de quién ha estado en tu sistema. Prepárate para familiarizarte con last, lastb e incluso algo de sudo para ver qué sucede. Un aviso: no siempre es perfecto (a veces los registros se borran o rotan), pero cubrirá la mayoría de los casos típicos.
Cómo reparar o comprobar el historial de inicio de sesión en Ubuntu
Cómo comprobar si los registros de inicio de sesión están disponibles y cómo ver los inicios de sesión exitosos
Primero, quieres ver los inicios de sesión exitosos recientes. Un comando simple lastsuele ser suficiente; existe desde siempre en Linux. Obtiene datos de /var/log/wtmp, pero a veces, si se rotan o borran los registros, es posible que no los veas todos. Accede a la Terminal ( Ctrl+ Alt+ T) mediante una VPN y escribe:
last
Enumerará los inicios de sesión recientes con información como nombres de usuario, horas de inicio de sesión y la duración de cada sesión. Presta atención a las entradas de «reinicio»: simplemente significan que tu sistema se reinició, así que es normal. Lo útil aquí es que obtienes una vista rápida sin mayores complicaciones. Si observas nombres de usuario u horas de inicio de sesión inusuales, quizás valga la pena investigar más a fondo.
Cómo ver los intentos de inicio de sesión fallidos (porque, por supuesto, algunos piratas informáticos lo intentan)
Ahora, ver los intentos de inicio de sesión fallidos es un poco más complicado. Ubuntu no muestra los intentos fallidos con last, pero el comando lastbsí, si tienes los permisos adecuados. Lee desde /var/log/btmp. Si no funciona de inmediato, puede que necesites permisos de administrador, así que simplemente antepón sudo :
sudo lastb
Esto generará una lista de intentos fallidos; quizás veas varios intentos, lo cual no es una buena noticia, pero al menos estás informado. Ten en cuenta que, a veces, los registros se rotan o no se habilitan para auditoría, así que no esperes un sistema infalible.
Cómo gestionar los permisos: porque a veces Linux te obliga a trabajar para conseguirlos
Si se le deniega el permiso al ejecutar lastb, simplemente agregue sudo. Así es como Linux protege los registros contra manipulaciones. Al introducir sudo lastbla contraseña, se mostrarán los inicios de sesión fallidos. En algunas configuraciones, este comando podría no mostrar nada si el registro de inicios de sesión fallidos no está habilitado o si se borran los registros, pero vale la pena intentarlo.
Cómo salir de registros largos cuando inundan tu pantalla
Si estás buscando información y la salida es larga (algo molesta), puedes salir pulsando Q. Ese es el comportamiento habitual del localizador. A veces, los registros son enormes, sobre todo si no los has limpiado en un tiempo, así que considera redirigirlos o filtrarlos si buscas algo específico.
Consejos adicionales y problemas comunes que hacen tropezar a la gente
Tenga en cuenta que los registros dependen de la configuración de su sistema. Si no encuentra lo que busca, compruebe si servicios de registro como rsyslog o systemd-journald funcionan correctamente. Además, los registros pueden rotarse o caducar después de un tiempo determinado, por lo que la actividad reciente suele ser correcta, pero la información antigua podría desaparecer. Y si no le convence, considere configurar registros más avanzados, como Fail2Ban o auditd, para realizar un seguimiento de todo.
Otra cosa extraña: a veces, al ejecutar lasto lastbinstalar desde cero, no se muestra prácticamente nada a menos que los registros sigan intactos. Lo mismo ocurre si los registros se han borrado manualmente o durante las limpiezas del sistema. Es algo a tener en cuenta, porque Windows tiene que complicarlo más de lo necesario, ¿verdad?
Resumen
Espiar el historial de inicio de sesión en Ubuntu no es muy complicado, pero tampoco es del todo sencillo; depende de cómo se gestionen los registros. La mayoría de las veces, lasty sudo lastbson la mejor opción. Manténgase al tanto con regularidad y, si detecta algo sospechoso, cambie las contraseñas o refuerce la seguridad. Es una buena manera de anticiparse a posibles problemas. Con el tiempo, comprenderá qué significa cada registro y podrá detectar actividad inusual más rápidamente.
Resumen
- Usar
lastpara inicios de sesión exitosos recientes - Úselo
sudo lastbpara intentos fallidos de inicio de sesión - Comprobar que los registros estén habilitados y no rotados
- Recuerda que los registros se pueden borrar o limitar, así que no confíes en ellos al 100 %.
- Supervise los registros periódicamente si la seguridad es una preocupación
Conclusión
Saber quién ha iniciado sesión en tu Ubuntu no es tan complicado, pero a veces resulta frustrante si los registros no están disponibles o no son lo suficientemente detallados. Aun así, estos comandos cubren los escenarios más comunes. Vigila los registros si sospechas que alguien intenta acceder y no olvides mantener tu sistema actualizado y seguro, porque, por supuesto, Linux lo hace un poco más complejo de lo necesario. Con suerte, esto te ahorrará algunas horas de indagación y búsqueda.