• Linux系统登录相关


    whoami:查看当前用户

    who:查看当前登录系统的所有用户

    • tty指的是主机的图形化界面的面板
    • pts/x指的是远程ssh连接的窗口

    who -b:主机的上一次启动时间

    w:显示已经登陆系统的用户列表,并显示用户正在执行的指令。

    users:显示当前登录系统的所有用户的用户列表。

    last:查看最近登录成功的用户及信息,该命令是读取的是 /var/log/wtmp 文件

    第1列是登录成功的用户名,第2列是pts终端,第3列是登录的ip,第4列是时间日期(包括登录时间到退出时间,still logged in代表现在该用户还登录着)

    攻击者在侵入目标主机后,一般都会将 /var/log/wtmp 文件删掉,这样last就看不到任何东西了。黑客删除只能将整个文件删除,而不能只是说删除某一条或者某几条记录。

    lastb:查看最近登录失败的用户及信息,该命令是读取的是 /var/log/btmp 文件

    第1列是登录失败的用户名,第2列的ssh:notty说明登录失败,第3列是登录的ip,第4列是时间日期

    如下,说明有黑客在尝试爆破你的ssh账号密码。黑客如果通过爆破你的SSH账号进入你主机的话,一般会将 /var/log/btmp 文件删掉,这样就看不到登录失败的记录了。黑客删除只能将整个文件删除,而不能只是说删除某一条或者某几条记录。

    lastlog:显示系统中所有用户最近一次登录信息

    与系统登录相关的日志

    /var/log/secure

    除了/var/log/secure以外,还有三个存储着之前的数据。如果后面的数据慢慢多了,就会删除最早的这些。

    /var/log/secure 一般用来记录安全相关的信息,记录最多的是哪些用户登录服务器的相关日志,如果该文件很大,说明有人在破解你的 root 密码

    这个是  /var/log/secure 里的登录日志 ,第一行说明root用户切换登录xie用户成功。第二三行说明xie用户想登录bob用户然后认证失败了,也就是密码错误。第四行说明xie用户退出登录了。

     grep 'Fail' /var/log/secure | awk '{print $11}' | sort |uniq -c | sort -k1 -n -r | head -5     #查看登录失败的那一行,然后打印出第11列(从后数), 然后排序,然后去除重复,然后按第一列排序 ,然后查看前五个
  • 相关阅读:
    怎么快速掌握一门新技术
    Linq相关
    C# 参数按照ASCII码从小到大排序(字典序)
    测试工具
    sql 创建临时表
    sql行合并
    WCF相关
    免费开源分布式系统日志收集框架 Exceptionless
    VPS,虚拟主机,云主机,独立服务器区别
    c# Dictionary的遍历和排序
  • 原文地址:https://www.cnblogs.com/csnd/p/11807657.html
Copyright © 2020-2023  润新知