Lệnh last Linux: Kiểm Tra Lịch Sử Đăng Nhập Nhanh Chóng

Trong quản trị hệ thống Linux, việc giám sát và kiểm soát truy cập là một trong những nhiệm vụ quan trọng nhất để đảm bảo an ninh và ổn định. Bạn đã bao giờ tự hỏi ai đã đăng nhập vào máy chủ của mình, vào lúc nào và từ đâu chưa? Việc nắm rõ lịch sử đăng nhập không chỉ giúp bạn phát hiện các hoạt động đáng ngờ mà còn là cơ sở để khắc phục sự cố hiệu quả. Lệnh last trong Linux chính là công cụ đơn giản nhưng vô cùng mạnh mẽ, được thiết kế để trả lời những câu hỏi đó. Bài viết này sẽ cùng bạn khám phá chi tiết về lệnh last, từ chức năng cơ bản, cách sử dụng, đến các ứng dụng thực tiễn trong việc giám sát hệ thống.

Giới thiệu về lệnh last trong Linux

Trong vai trò của một người quản trị hệ thống, bạn phải chịu trách nhiệm về tính toàn vẹn và bảo mật của máy chủ. Hãy tưởng tượng một tình huống máy chủ của bạn đột nhiên hoạt động chậm lại vào lúc nửa đêm. Nghi ngờ đầu tiên của bạn là gì? Rất có thể là do một truy cập không mong muốn hoặc một tiến trình lạ đang chạy. Để xác minh điều này, bạn cần một công cụ giúp xem lại ai đã đăng nhập vào hệ thống trong khoảng thời gian đó. Đây chính là lúc lệnh last phát huy vai trò không thể thiếu của mình.

Lệnh last là một công cụ dòng lệnh cơ bản trong hầu hết các bản phân phối Linux là gì, có chức năng chính là hiển thị lịch sử các lần đăng nhập và đăng xuất của người dùng. Tầm quan trọng của nó không chỉ dừng lại ở việc kiểm tra bảo mật. Nó còn là một trợ thủ đắc lực trong việc gỡ lỗi, phân tích hiệu suất và đảm bảo rằng chỉ những người dùng được ủy quyền mới có thể truy cập vào hệ thống. Bài viết này sẽ hướng dẫn bạn từ A đến Z về lệnh last: từ khái niệm cơ bản, cách đọc hiểu thông tin, các cú pháp sử dụng phổ biến, cho đến những ứng dụng thực tế và mẹo hữu ích để quản trị hệ thống Linux Lite hiệu quả hơn.

Chức năng chính của lệnh last

Để sử dụng hiệu quả bất kỳ công cụ nào, trước hết chúng ta cần hiểu rõ chức năng cốt lõi của nó. Lệnh last có vẻ đơn giản ở bề ngoài, nhưng nó cung cấp một cái nhìn sâu sắc về hoạt động của người dùng trên hệ thống. Vậy chính xác thì lệnh này làm gì và nó lấy thông tin từ đâu?

Lệnh last là gì?

Về cơ bản, last là một lệnh tiện ích dùng để truy xuất và hiển thị lịch sử các phiên đăng nhập của người dùng trên hệ thống Linux. Mục đích chính của nó là cung cấp một bản ghi chi tiết về ai đã kết nối, từ đâu, khi nào và trong bao lâu. Thông tin này cực kỳ giá trị cho việc kiểm toán bảo mật, giám sát hành vi người dùng và chẩn đoán các sự cố liên quan đến truy cập hệ thống.

Điều quan trọng cần biết là lệnh last không tự tạo ra dữ liệu. Thay vào đó, nó đọc thông tin từ một tệp nhật ký (log file) đặc biệt có tên là wtmp, thường được lưu trữ tại /var/log/wtmp. Tệp wtmp ghi lại mọi sự kiện đăng nhập và đăng xuất xảy ra trên hệ thống. Mỗi khi một người dùng đăng nhập, một bản ghi mới sẽ được thêm vào tệp này. Và khi họ đăng xuất, bản ghi đó sẽ được cập nhật với thời gian kết thúc phiên. Do đó, tính đầy đủ và chính xác của lệnh last phụ thuộc hoàn toàn vào sự toàn vẹn của tệp wtmp. Bạn có thể tìm hiểu thêm về Kernel Linux, nơi quản lý các tiến trình và tài nguyên hệ thống để hiểu sâu hơn về cách hệ điều hành Linux hoạt động liên quan đến quản lý phiên đăng nhập.

Thông tin lệnh last hiển thị

Khi bạn thực thi lệnh last, kết quả trả về là một danh sách các phiên đăng nhập được sắp xếp theo thứ tự thời gian, với phiên gần nhất ở trên cùng. Mỗi dòng trong kết quả đại diện cho một phiên và được chia thành nhiều cột thông tin có ý nghĩa riêng. Hiểu rõ từng cột sẽ giúp bạn phân tích dữ liệu một cách chính xác.

Thông thường, đầu ra của lệnh last bao gồm các cột sau:

• Tên người dùng (Username): Tên tài khoản đã thực hiện đăng nhập.
• Thiết bị đầu cuối (Terminal): Thiết bị mà người dùng đã đăng nhập qua. tty (Teletypewriter) thường chỉ các phiên đăng nhập trực tiếp trên máy vật lý, trong khi pts (Pseudo-Terminal Slave) đại diện cho các phiên đăng nhập từ xa qua SSH hoặc telnet.
• Địa chỉ IP hoặc Hostname: Nguồn gốc của kết nối. Đây có thể là địa chỉ IP của máy tính từ xa hoặc :0 nếu là phiên đăng nhập giao diện đồ họa trực tiếp.
• Thời gian bắt đầu phiên: Ngày và giờ người dùng bắt đầu đăng nhập.
• Thời gian kết thúc phiên và Thời lượng: Cho biết khi nào phiên kết thúc và tổng thời gian kéo dài của phiên đó.

Ngoài ra, bạn sẽ gặp một số trạng thái đặc biệt trong cột thời gian kết thúc:

• still logged in: Cho biết người dùng hiện vẫn đang trong phiên đăng nhập đó.
• down: Phiên làm việc kết thúc do hệ thống tắt máy (shutdown) một cách bình thường.
• crash hoặc gone – no logout: Phiên làm việc bị ngắt đột ngột mà không đăng xuất đúng cách, có thể do mất kết nối mạng hoặc hệ thống bị lỗi.
• reboot: Một bản ghi đặc biệt cho biết hệ thống đã được khởi động lại vào thời điểm đó.

Cách sử dụng lệnh last để kiểm tra lịch sử đăng nhập người dùng

Lệnh last rất linh hoạt và cung cấp nhiều tùy chọn để bạn lọc và tùy chỉnh thông tin hiển thị. Việc nắm vững các cú pháp cơ bản và tham số phổ biến sẽ giúp bạn nhanh chóng tìm thấy thông tin mình cần.

Các cú pháp cơ bản của lệnh last

Bắt đầu với những cách sử dụng đơn giản nhất, bạn có thể dễ dàng kiểm tra lịch sử đăng nhập chỉ với vài thao tác.

• last: Đây là cú pháp cơ bản nhất. Khi gõ lệnh này và nhấn Enter, hệ thống sẽ hiển thị toàn bộ lịch sử đăng nhập được lưu trong file /var/log/wtmp, bắt đầu từ những phiên gần đây nhất. Đây là lệnh bạn sẽ dùng thường xuyên để có cái nhìn tổng quan.
• last [username]: Nếu bạn chỉ muốn kiểm tra lịch sử đăng nhập của một người dùng cụ thể, chỉ cần thêm tên người dùng đó sau lệnh last. Ví dụ, last root sẽ chỉ hiển thị các phiên đăng nhập của người dùng root. Điều này rất hữu ích khi bạn cần kiểm tra hoạt động của một tài khoản cụ thể, đặc biệt là các tài khoản có quyền cao.
• last -n [số lượng] hoặc last -[số lượng]: Khi bạn chỉ quan tâm đến một vài phiên đăng nhập gần nhất, hãy sử dụng tùy chọn -n. Ví dụ, last -n 10 hoặc last -10 sẽ hiển thị 10 dòng kết quả gần đây nhất. Cách này giúp kết quả hiển thị ngắn gọn và dễ đọc hơn thay vì phải cuộn qua một danh sách dài.

Các tham số và tùy chọn phổ biến

Ngoài các cú pháp cơ bản, last còn hỗ trợ nhiều tham số (flags/options) để mở rộng khả năng của nó, giúp bạn tinh chỉnh truy vấn một cách mạnh mẽ hơn.

• -f [file]: Mặc định, last đọc dữ liệu từ /var/log/wtmp. Tuy nhiên, các tệp log cũ thường được nén và lưu trữ dưới các tên khác (ví dụ: wtmp.1, wtmp.gz). Tham số -f cho phép bạn chỉ định một tệp log khác để đọc. Ví dụ: last -f /var/log/wtmp.1 sẽ đọc lịch sử từ tệp lưu trữ cũ hơn. Điều này cực kỳ quan trọng khi bạn cần điều tra các sự kiện đã xảy ra trong quá khứ xa hơn.
• -x: Tùy chọn này mở rộng kết quả hiển thị, bao gồm cả các bản ghi về việc hệ thống tắt máy (shutdown), khởi động lại (reboot) và thay đổi runlevel. Khi dùng last -x, bạn sẽ thấy các mục như shutdown và runlevel trong cột tên người dùng, giúp theo dõi lịch sử hoạt động của chính hệ thống chứ không chỉ của người dùng.
• -d (Display IP as hostname): Đối với các phiên đăng nhập từ xa, cột nguồn gốc thường hiển thị địa chỉ IP. Khi bạn sử dụng tùy chọn -d, last sẽ cố gắng thực hiện một truy vấn DNS ngược để chuyển đổi địa chỉ IP đó thành tên miền (hostname) tương ứng. Điều này giúp bạn dễ dàng nhận dạng nguồn gốc kết nối hơn là phải nhớ các địa chỉ IP.
• -a (Display hostname in the last column): Tùy chọn này sẽ hiển thị hostname ở cột cuối cùng, giúp định dạng đầu ra dễ đọc hơn trong một số trường hợp.
• -i (Display IP address): Ngược lại với -d, tùy chọn -i sẽ luôn hiển thị địa chỉ IP thay vì hostname, ngay cả khi có thể phân giải được tên miền. Điều này hữu ích khi bạn muốn xem IP gốc một cách nhất quán.

Ứng dụng thực tế của lệnh last trong quản trị hệ thống

Lý thuyết về lệnh last rất hữu ích, nhưng sức mạnh thực sự của nó chỉ được thể hiện khi áp dụng vào các tình huống quản trị hệ thống hàng ngày. Từ giám sát bảo mật đến xử lý sự cố, last là công cụ không thể thiếu trong bộ công cụ của bất kỳ quản trị viên Fedora Linux nào.

Giám sát và phân tích hành vi đăng nhập của người dùng

Đây là ứng dụng phổ biến và quan trọng nhất của lệnh last. Việc thường xuyên kiểm tra lịch sử đăng nhập giúp bạn nắm bắt được các hoạt động bình thường và nhanh chóng phát hiện những dấu hiệu bất thường.

Bạn có thể sử dụng last để trả lời các câu hỏi như:

• Ai đã đăng nhập vào hệ thống? Bằng cách xem cột tên người dùng, bạn có thể xác định tất cả các tài khoản đã truy cập.
• Họ đăng nhập vào lúc nào? Cột thời gian cung cấp thông tin chính xác về thời điểm bắt đầu và kết thúc của mỗi phiên. Điều này đặc biệt quan trọng để phát hiện các đăng nhập ngoài giờ làm việc hoặc vào những thời điểm đáng ngờ (ví dụ: 3 giờ sáng).
• Họ đăng nhập từ đâu? Cột địa chỉ IP/Hostname cho bạn biết nguồn gốc của kết nối. Nếu bạn thấy một đăng nhập từ một địa chỉ IP lạ hoặc từ một quốc gia mà công ty bạn không có hoạt động, đó có thể là một dấu hiệu của truy cập trái phép.

Bằng cách kết hợp last với các lệnh khác như grep, bạn có thể thực hiện các phân tích sâu hơn. Ví dụ, last | grep "123.45.67.89" sẽ giúp bạn lọc ra tất cả các lần đăng nhập từ một địa chỉ IP cụ thể mà bạn đang nghi ngờ.

Hỗ trợ xử lý sự cố và bảo mật

Khi hệ thống gặp sự cố, lịch sử đăng nhập là một trong những nguồn thông tin đầu tiên cần được kiểm tra. Dữ liệu từ last có thể cung cấp những manh mối quan trọng giúp bạn khoanh vùng nguyên nhân.

• Đánh giá phiên đăng nhập bất thường: Giả sử một người dùng báo cáo rằng dữ liệu của họ đã bị thay đổi một cách bí ẩn. Bạn có thể dùng last [username] để kiểm tra xem có ai khác đã đăng nhập vào tài khoản của họ hay không. Nếu phát hiện một phiên đăng nhập từ một địa chỉ IP không xác định, bạn đã có một manh mối quan-trọng để điều tra sâu hơn.
• Kiểm tra lịch sử reboot và shutdown hệ thống: Hệ thống tự nhiên khởi động lại mà không rõ lý do? Lệnh last -x reboot sẽ hiển thị chính xác thời gian các lần khởi động lại. Tương tự, last -x shutdown cho biết khi nào hệ thống được tắt. Dựa vào thời gian này, bạn có thể đối chiếu với các tệp log hệ thống khác (như /var/log/syslog hoặc journalctl) để tìm ra nguyên nhân gây ra sự kiện đó, có thể là do cập nhật hệ thống, lỗi phần cứng hoặc một hành động có chủ ý.
• Phân tích các phiên bị ngắt đột ngột: Khi thấy nhiều trạng thái “gone – no logout” hoặc “crash”, đây có thể là dấu hiệu của sự cố mạng hoặc hệ thống không ổn định. Lệnh last giúp bạn xác định thời điểm và tần suất xảy ra các sự cố này, từ đó có hướng khắc phục phù hợp.

Lưu trữ và truy xuất dữ liệu lịch sử đăng nhập qua file hệ thống

Để lệnh last hoạt động, nó cần có nguồn dữ liệu. Như đã đề cập, nguồn dữ liệu này chính là tệp wtmp. Hiểu về cách tệp này hoạt động, cách nó được quản lý và cách sao lưu là kiến thức nền tảng để đảm bảo bạn không bao giờ mất đi những thông tin đăng nhập quý giá.

Vị trí và vai trò của file /var/log/wtmp

Tệp /var/log/wtmp là trái tim của cơ chế ghi lại lịch sử đăng nhập. Nó không phải là một tệp văn bản thông thường mà bạn có thể mở bằng cat hay nano. Đây là một tệp nhị phân (binary file), chứa các bản ghi được cấu trúc hóa. Chỉ những công cụ như last mới có thể đọc và diễn giải đúng định dạng của nó.

• Đặc điểm: Vì là tệp nhị phân, wtmp có kích thước nhỏ gọn và hiệu quả hơn trong việc ghi và đọc so với tệp văn bản thuần túy. Mỗi khi có sự kiện đăng nhập, đăng xuất, reboot, hay shutdown, một bản ghi mới sẽ được ghi nối vào cuối tệp.
• Quản lý vòng đời dữ liệu: Tệp wtmp không thể phát triển mãi mãi vì sẽ chiếm dụng toàn bộ không gian đĩa. Hầu hết các hệ thống Linux sử dụng một tiện ích gọi là logrotate để quản lý các tệp log. logrotate sẽ tự động xoay vòng (rotate) tệp wtmp theo định kỳ (ví dụ: hàng tuần hoặc hàng tháng). Khi xoay vòng, tệp wtmp hiện tại sẽ được đổi tên (ví dụ: thành wtmp.1), và một tệp wtmp mới, trống rỗng sẽ được tạo ra. Các tệp cũ hơn có thể được nén lại (ví dụ: wtmp.2.gz) và sau một thời gian sẽ bị xóa đi để giải phóng dung lượng.

Backup và phục hồi dữ liệu lịch sử đăng nhập

Do cơ chế xoay vòng của logrotate, dữ liệu lịch sử đăng nhập cũ sẽ bị xóa sau một khoảng thời gian nhất định. Nếu chính sách bảo mật của bạn yêu cầu lưu trữ log trong thời gian dài, việc sao lưu tệp wtmp là cực kỳ cần thiết.

• Cách lưu trữ dữ liệu log: Bạn có thể thiết lập một cron job để định kỳ sao chép tệp /var/log/wtmp và các tệp xoay vòng của nó (wtmp.*) đến một vị trí lưu trữ an toàn, chẳng hạn như một máy chủ log tập trung hoặc một bộ lưu trữ đám mây. Điều này đảm bảo rằng ngay cả khi tệp gốc bị xóa hoặc hỏng, bạn vẫn có bản sao để tham chiếu.
• Sử dụng tham số -f để đọc file backup: Khi cần điều tra một sự kiện trong quá khứ mà dữ liệu không còn trong tệp wtmp hiện tại, bạn có thể sử dụng các tệp sao lưu. Ví dụ, nếu bạn đã sao lưu tệp log của tháng trước vào /backup/logs/wtmp_last_month, bạn có thể dùng lệnh last -f /backup/logs/wtmp_last_month để truy xuất lịch sử đăng nhập từ tệp đó. Khả năng này làm cho last trở thành một công cụ phân tích pháp y kỹ thuật số (digital forensics) rất mạnh mẽ.

Mẹo và lưu ý khi sử dụng lệnh last hiệu quả

Sử dụng thành thạo lệnh last không chỉ dừng lại ở việc biết các cú pháp cơ bản. Để khai thác tối đa tiềm năng của nó và tránh những sai lầm không đáng có, bạn cần ghi nhớ một vài mẹo và lưu ý quan trọng sau.

• Kiểm tra quyền truy cập trước khi chạy lệnh: Tệp /var/log/wtmp chứa thông tin nhạy cảm về truy cập hệ thống. Do đó, trên nhiều bản phân phối Linux, tệp này được bảo vệ và chỉ có người dùng root hoặc người dùng trong nhóm có quyền đặc biệt (như adm) mới có thể đọc được. Nếu bạn chạy lệnh last với tư cách người dùng thông thường và không thấy kết quả hoặc nhận được thông báo lỗi “Permission denied”, hãy thử chạy lại với sudo: sudo last. Bạn có thể tìm hiểu thêm về cách sử dụng shell với bài viết Bash là gì.
• Sử dụng kết hợp với grep để lọc thông tin cụ thể: Sức mạnh của các công cụ dòng lệnh Linux nằm ở khả năng kết hợp chúng lại với nhau. last cũng không ngoại lệ. Khi kết quả trả về quá dài, việc dùng grep để lọc là vô cùng hữu ích.
  • Tìm kiếm đăng nhập từ một dải IP: last | grep "192.168.1."
  • Kiểm tra các phiên đăng nhập SSH (thường là qua pts): last | grep "pts"
  • Xem ai đã đăng nhập vào một ngày cụ thể: last | grep "Dec 25"
• Lưu ý giới hạn dữ liệu hiển thị: Hãy nhớ rằng last chỉ có thể hiển thị dữ liệu có trong tệp wtmp và các tệp xoay vòng của nó. Do cơ chế của logrotate, các bản ghi quá cũ có thể đã bị xóa vĩnh viễn. Nếu bạn cần truy xuất lịch sử từ rất lâu, hãy đảm bảo rằng bạn đã có chính sách sao lưu tệp log phù hợp. Đừng ngạc nhiên nếu last không hiển thị được lịch sử từ một năm trước nếu hệ thống không được cấu hình để lưu trữ log lâu dài.

Các vấn đề thường gặp và cách xử lý

Trong quá trình sử dụng last, đôi khi bạn có thể gặp phải những tình huống không mong muốn như không có dữ liệu hiển thị hoặc thông tin có vẻ không chính xác. Hiểu rõ nguyên nhân và cách khắc phục sẽ giúp bạn giải quyết vấn đề nhanh chóng.

Không hiển thị dữ liệu do file wtmp bị xóa hoặc hỏng

Đây là vấn đề phổ biến nhất. Bạn chạy lệnh last và không nhận được bất kỳ kết quả nào, hoặc chỉ có một dòng thông báo về thời điểm tệp wtmp được tạo.

• Nguyên nhân:
  1. Tệp wtmp không tồn tại: Có thể ai đó đã vô tình hoặc cố ý xóa tệp /var/log/wtmp. Đây là một dấu hiệu đáng báo động về bảo mật, vì kẻ tấn công thường xóa tệp này để che giấu dấu vết.
  2. Tệp wtmp bị hỏng (corrupted): Do một sự cố hệ thống như tắt nguồn đột ngột, tệp có thể bị hỏng và không thể đọc được.
  3. Hệ thống mới được cài đặt: Trên một hệ thống hoàn toàn mới, chưa có ai đăng nhập, tệp wtmp có thể trống.
• Hướng dẫn kiểm tra và phục hồi:
  1. Kiểm tra sự tồn tại của tệp: Chạy lệnh ls -l /var/log/wtmp. Nếu tệp không tồn tại, bạn cần tạo lại nó.
  2. Tạo lại tệp wtmp: Bạn có thể tạo lại tệp này bằng lệnh sudo touch /var/log/wtmp và sau đó thiết lập quyền truy cập phù hợp: sudo chmod 664 /var/log/wtmp. Tuy nhiên, lưu ý rằng việc này chỉ tạo ra một tệp trống, lịch sử cũ đã bị mất vĩnh viễn nếu bạn không có bản sao lưu.
  3. Khôi phục từ backup: Nếu bạn đã sao lưu tệp wtmp trước đó, đây là lúc để khôi phục nó về vị trí /var/log/wtmp.

Hiển thị thông tin không chính xác hoặc thiếu

Đôi khi, bạn có thể thấy rằng lịch sử đăng nhập bị thiếu một khoảng thời gian hoặc thông tin về thời lượng phiên không chính xác.

• Nguyên nhân:
  1. logrotate đã chạy: Nếu bạn đang tìm kiếm một bản ghi từ tuần trước và logrotate đã chạy vào cuối tuần, bản ghi đó có thể đã được chuyển sang tệp wtmp.1. Lệnh last mặc định sẽ không tìm trong tệp này.
  2. Hệ thống tắt đột ngột: Nếu hệ thống bị treo hoặc mất điện, các phiên đang hoạt động sẽ không có bản ghi đăng xuất. Khi hệ thống khởi động lại, các phiên này sẽ được đánh dấu là “crash” hoặc “gone” và thời lượng phiên có thể không được tính toán chính xác.
  3. Các dịch vụ tự động xóa log: Một số kịch bản bảo trì hoặc công cụ bảo mật có thể được cấu hình để xóa các tệp log cũ một cách tự động, nằm ngoài tầm kiểm soát của logrotate.
• Cách xử lý:
  1. Sử dụng tham số -f để kiểm tra các tệp log cũ hơn: last -f /var/log/wtmp.1.
  2. Kiểm tra cấu hình của logrotate trong /etc/logrotate.conf và các tệp cấu hình liên quan trong /etc/logrotate.d/ để hiểu chính sách lưu trữ log của hệ thống.
  3. Đối chiếu thông tin từ last với các nguồn log khác như journalctl hoặc /var/log/auth.log để có cái nhìn toàn diện hơn về các sự kiện hệ thống.

Best Practices khi dùng lệnh last

Để tích hợp lệnh last vào quy trình làm việc quản trị hệ thống một cách chuyên nghiệp và an toàn, hãy tuân thủ các thực tiễn tốt nhất sau đây.

• Luôn kiểm tra quyền truy cập và chạy với sudo khi cần: Đây là quy tắc cơ bản nhất. Để tránh các kết quả không đầy đủ hoặc lỗi không cần thiết, hãy tập thói quen sử dụng sudo last nếu bạn không đăng nhập bằng tài khoản root. Điều này đảm bảo bạn luôn có quyền đọc tệp wtmp một cách đầy đủ.
• Kết hợp lệnh last với các công cụ quản lý log để theo dõi hiệu quả: Lệnh last rất tuyệt vời cho việc kiểm tra nhanh, nhưng để giám sát liên tục, bạn nên tích hợp nó vào một hệ thống quản lý log lớn hơn. Các công cụ như Logwatch, GoAccess, hoặc các hệ thống tập trung log như Graylog, ELK Stack (Elasticsearch, Logstash, Kibana) có thể tự động phân tích dữ liệu từ wtmp và gửi cảnh báo cho bạn khi phát hiện hoạt động đáng ngờ, chẳng hạn như đăng nhập root từ IP lạ.
• Thường xuyên backup file wtmp để tránh mất dữ liệu quan trọng: Dữ liệu là tài sản. Lịch sử đăng nhập là một phần dữ liệu quan trọng đối với an ninh hệ thống. Hãy thiết lập một chính sách sao lưu tự động và định kỳ cho /var/log/wtmp và các tệp liên quan. Lưu trữ các bản sao lưu này ở một nơi an toàn, tách biệt với máy chủ chính để đảm bảo tính toàn vẹn ngay cả khi máy chủ bị xâm nhập.
• Tránh chạy lệnh trên các file hệ thống khi không có hiểu biết rõ: Mặc dù tham số -f rất hữu ích, hãy cẩn thận khi chỉ định tệp đầu vào cho last. Việc chạy lệnh trên một tệp nhị phân không xác định có thể dẫn đến kết quả không mong muốn hoặc thậm chí là lỗi hệ thống. Chỉ sử dụng -f với các tệp mà bạn chắc chắn là tệp log wtmp.

Kết luận

Lệnh last có thể là một trong những lệnh đơn giản nhất trong Linux, nhưng tầm quan trọng của nó trong việc quản trị và bảo mật hệ thống là không thể phủ nhận. Từ việc cung cấp một cái nhìn tổng quan nhanh chóng về ai đã truy cập hệ thống, đến việc trở thành một công cụ điều tra mạnh mẽ khi sự cố xảy ra, last là một người bạn đồng hành đáng tin cậy của mọi quản trị viên.

Qua bài viết này, AZWEB hy vọng bạn đã nắm vững cách hoạt động, các cú pháp sử dụng và những ứng dụng thực tiễn của lệnh last. Việc hiểu rõ cách đọc và phân tích kết quả của nó sẽ giúp bạn chủ động hơn trong việc giám sát, phát hiện các mối đe dọa tiềm tàng và duy trì một hệ thống Linux an toàn, ổn định. Hãy bắt đầu thực hành ngay hôm nay bằng cách kiểm tra lịch sử đăng nhập trên chính máy chủ của bạn. Đồng thời, đừng quên tìm hiểu thêm các lệnh liên quan như who, w, và lastb (hiển thị các lần đăng nhập thất bại) để hoàn thiện bộ kỹ năng quản trị của mình.

---

---