Die Datei
»/var/log/auth.log
«
speichert alle Arten von Authorisierungsvorgängen. Das umfasst Logins und Logouts seit dem letzten Start des Systems (
Abbildung 2
) und dient zur Analyse typischer Verhaltensmuster sowie verdächtiger Abweichungen.
Je nach Distribution landen neben den An- und Abmeldungen auch Warnungen in der Datei
»auth.log
«
, die auf mögliche Sicherheitsprobleme hinweisen. Manche Linux-Varianten speichern diese in der separaten Datei
»/var/log/user.log
«
(
Abbildung 3
).
Die meisten Linux-Kommandos zur Benutzerverwaltung stammen noch aus der Vor-Linux-Ära und sind zu Unix-Frühzeiten entstanden. Ihr historisches Alter macht sich im Alltag nur noch oberflächlich bemerkbar, etwa daran, dass sie häufig nicht über Argumente im GNU-Standard mit zwei Bindestrichen verfügen, sondern ausschließlich über die Unix-typischen mit einem Bindestrich und einem Buchstaben.
Zwar steht der Benutzernamen bei den meisten Distributionen im Kommandozeilenprompt, aber gerade bei Kontowechseln etwa mit
»su -
«
kann der Überblick verloren gehen. In diesem Fall gibt der Befehl
»whoami
«
wieder Orientierung.