干货~Linux中查看登录信息命令

admin 2022年4月15日10:41:47SecIN安全技术社区干货~Linux中查看登录信息命令已关闭评论14 views1980字阅读6分36秒阅读模式

在日常运维中,发现系统被别人在远程登录,但是不知道是谁,在什么时候登录的,这时候就应该进行排查,什么人在什么地方登陆过,登录的用户名是什么,执行了啥操作,以下给各位师傅小结了比较常见的查看登录信息的几个命令~

查看登录用户的记录

w:用于显示目前登录系统的用户信息

这个命令可以查看登录系统的用户以及他们正在执行的程序,单独使用

w会列出全部用户,也可以指定用户

bash
w [-fhlsiuV] [用户名称]

bash
-f:开启或关闭显示用户从何处登录系统(一般显示IP)
-h:不显示标题栏的信息列
-l:使用详细的格式列表,预设值,不需要指定也会列出详细的内容
-s:使用简介的格式列表,不会显示用户登陆时间/执行的程序/程序执行所耗费的CPU时间
-u:列出当前进程和CPU时间时忽略用户名
-i:显示ip地址而不是主机名
-V:w的版本呢信息

干货~Linux中查看登录信息命令

html
// 标题列信息
USER:登录的用户名
TTY:用户登录的终端或TTY
FROM:从哪里登录,一般以IP显示
[email protected]:登陆的时间
IDLE:空闲时间(算是用户登录后的时间)
JCPU:连接tty(终端)时所用的时间
PCPU:当前进程所用时间
WHAT:用户执行的命令

干货~Linux中查看登录信息命令

who:查看哪些使用者在使用系统

相比较w命令,who命令可以看到的信息相对少一点

bash
who -[husfV] [user]

bash
-a:完整显示
-H:显示标题栏
-u:显示空闲时间,且如果改用户在一分钟内有任何操作,会将IDLE列即空闲时间那一列标志为"."
-m:相当于who am i
-q:显示登录的用户名和总人数
-b:上传系统启动的时间
-s:仅打印姓名,终端和时间,此项是默认项
--help:显示帮助信息
--version:显示版本

干货~Linux中查看登录信息命令

干货~Linux中查看登录信息命令

干货~Linux中查看登录信息命令

users:打印用户名

仅仅只是打印用户名,除了--help和--version,没有别的选项

干货~Linux中查看登录信息命令

whoami:显示当前登录的用户

显示当前登录的用户

干货~Linux中查看登录信息命令

id -un:显示当前登录的用户

和whoami一样,显示当前登录的用户

干货~Linux中查看登录信息命令

html
who -m == who am i == who mom like
三个命令的输出效果相同

last:显示用户最近登录的账户信息

列出当前和过去登录系统的账户相关信息

默认读取/var/log/wtmp的内容

除此之外,/var/log/btmp也是记录了登录信息的内容,但是不能直接cat查看

bash
last [options]

bash
-R:忽略hostname栏
-n/-num:显示前num个,比如last -n 10,又或者last -10,记得带横杠
-username:显示指定的username登录信息,比如last root,不用带横杠
-f:指定读取的文件,由于执行last默认是读取/var/log/wtmp的文件,普通的cat读取不了wtmp,但是可以使用last -f指定文件
-a:将登陆地址放到最后一列
-d:将ip转成主机名
-F:输出详细的登录和注销时间和日期
-w:显示完整的用户名和域名

```bash
[[email protected]_centos log]$ last -F -n 5
root pts/21 xxx.xxx.xxx.xxx Thu Feb 10 14:48:07 2022 still logged in
root pts/18 xxx.xxx.xxx.xxx Thu Feb 10 14:46:51 2022 still logged in

root pts/18 xxx.xxx.xxx.xxx Mon Feb 7 23:44:21 2022 - Tue Feb 8 03:01:27 2022 (03:17)

root pts/18 xxx.xxx.xxx.xxx Mon Feb 7 02:34:18 2022 - Mon Feb 7 04:00:38 2022 (01:26)

root pts/21 xxx.xxx.xxx.xxx Sun Feb 6 22:43:02 2022 - Mon Feb 7 02:06:45 2022 (03:23)

wtmp begins Wed Nov 3 22:40:49 2021
```

html
第一列(root):用户名
第二列(pts/21):终端名(pts意味着伪终端,通过ssh或者telnet登录,而tty就是直连到系统)
第三列(xxx.xxx.xxx.xxx):登录的IP地址或者用户名
第四列(Thu Feb 10 14:48:07 2022):该用户登录的日期
第五列(Tue Feb 8 03:01:27 2022 (03:17)):用户退出登录时间
第五列(still logged in):说明用户还在登录,未退出

干货~Linux中查看登录信息命令

以上列出了常见查看用户登录信息的命令,无论在日常排除服务器还是hw中,都可能会用到,相比较前面几个,可以查看的内容没有last命令这么强,last不仅可以查看登录登出时间,还可以记录IP地址和执行的命令,在日常运维中,last是最值得推荐的,但是如果/var/log/wtmp被入侵者删除了就查不到了,这也算是比较鸡肋的一个点~

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月15日10:41:47
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  干货~Linux中查看登录信息命令 http://cn-sec.com/archives/913077.html