wとかlastlogを叩いても、WinSCPでログインしたユーザがNever Logged Inなのはなんで?
このユーザって今も使われてるのかなー?を確認したくて、wとかlastlogを叩くと、過去絶対にログインしてたはずのユーザで「一度もログインしていません」とか「Never Logged In」と出ることがあって、なんぞこれ?と思ってたので調べてみた。
結論から言うと、SCPやSFTPでログインしてもwやlastlogにログイン履歴は残らない。これは仕様。
私もこの辺の質問者とまったく同じ気持ちでした・・・。
- linux - User logged in by sftp does not show up in `w` - Unix & Linux Stack Exchange
- Command last does not show logins through sFTP, is there something similar or any logs? - Ask Ubuntu
回答欄にも書いてあるけど、wやlastやlastlogがログイン情報のソースとして参照しているのは、/var/run/utmpや/var/log/wtmpや/var/log/lastlog。
んで、sshdはSCPやSFTPでログインした情報を、/var/run/utmpや/var/log/wtmpや/var/log/lastlogに渡さない。だからSCPでログインしてるユーザが「Never Logged In」になる。
sshd_configの設定でどうにかならんかなーと思ったけど、どうにもならなさそう。
という訳で、SCPやSFTPでログインした履歴が見たかったら、/var/log/secure見るのが正解かな、と思う。勿論、必要な情報がちゃんと出るように、事前にsshd_configでSyslogFacilityをAUTHPRIV、LogLevelをVERBOSE(デフォルトはINFO)にしておいて。