whoami:查看当前用户
who:查看当前登录系统的所有用户
- tty指的是主机的图形化界面的面板
- pts/x指的是远程ssh连接的窗口
who -b:主机的上一次启动时间
w:显示已经登陆系统的用户列表,并显示用户正在执行的指令。
users:显示当前登录系统的所有用户的用户列表。
last:查看最近登录成功的用户及信息,该命令是读取的是 /var/log/wtmp 文件
第1列是登录成功的用户名,第2列是pts终端,第3列是登录的ip,第4列是时间日期(包括登录时间到退出时间,still logged in代表现在该用户还登录着)
攻击者在侵入目标主机后,一般都会将 /var/log/wtmp 文件删掉,这样last就看不到任何东西了。黑客删除只能将整个文件删除,而不能只是说删除某一条或者某几条记录。
lastb:查看最近登录失败的用户及信息,该命令是读取的是 /var/log/btmp 文件
第1列是登录失败的用户名,第2列的ssh:notty说明登录失败,第3列是登录的ip,第4列是时间日期
如下,说明有黑客在尝试爆破你的ssh账号密码。黑客如果通过爆破你的SSH账号进入你主机的话,一般会将 /var/log/btmp 文件删掉,这样就看不到登录失败的记录了。黑客删除只能将整个文件删除,而不能只是说删除某一条或者某几条记录。
lastlog:显示系统中所有用户最近一次登录信息
与系统登录相关的日志
/var/log/secure
除了/var/log/secure以外,还有三个存储着之前的数据。如果后面的数据慢慢多了,就会删除最早的这些。
/var/log/secure 一般用来记录安全相关的信息,记录最多的是哪些用户登录服务器的相关日志,如果该文件很大,说明有人在破解你的 root 密码
这个是 /var/log/secure 里的登录日志 ,第一行说明root用户切换登录xie用户成功。第二三行说明xie用户想登录bob用户然后认证失败了,也就是密码错误。第四行说明xie用户退出登录了。
grep 'Fail' /var/log/secure | awk '{print $11}' | sort |uniq -c | sort -k1 -n -r | head -5 #查看登录失败的那一行,然后打印出第11列(从后数), 然后排序,然后去除重复,然后按第一列排序 ,然后查看前五个