1 外部用户/外部主机

/var/log

在CentOS系统上,用户登录历史存储在以下这些文件中:

  • /var/log/wtmp 用于存储系统连接历史记录被last工具用来记录最后登录的用户的列表
  • /var/run/utmp用于记录当前打开的会话被who和w工具用来记录当前有谁登录以及他们正在做什么,而uptime用来记录系统启动时间
  • /var/log/btmp记录失败的登录尝试被lastb工具用来记录最后失败的登录尝试的列表

CentOS下查看最后登录的用户信息

[root@hello ~]# tail /var/log/secure

Jan 29 16:17:44 hello sudo: pam_unix(sudo:session): session opened for user root by (uid=0)

Jan 29 16:17:44 hello sudo: pam_unix(sudo:session): session closed for user root

Jan 29 16:17:44 hello su: pam_unix(su-l:session): session closed for user root

Jan 29 16:18:44 hello su: pam_unix(su-l:session): session opened for user root by (uid=0)

Jan 29 16:18:44 hello sudo:    root : TTY=unknown ; PWD=/root ; USER=root ; COMMAND=/sbin/service elasticsearch status

Jan 29 16:18:44 hello sudo: pam_unix(sudo:session): session opened for user root by (uid=0)

Jan 29 16:18:44 hello sudo: pam_unix(sudo:session): session closed for user root

Jan 29 16:18:44 hello su: pam_unix(su-l:session): session closed for user root

Jan 29 16:19:24 hello su: pam_unix(su-l:session): session opened for user ambari-qa by (uid=0)

Jan 29 16:19:33 hello su: pam_unix(su-l:session): session closed for user ambari-qa

[root@sdc01 ~]# tail /var/log/messages

Jan 29 16:19:24 hellosu: (to ambari-qa) root on none

Jan 29 16:19:24 hello systemd: Created slice User Slice of ambari-qa.

Jan 29 16:19:24 hello systemd: Started Session c94084 of user ambari-qa.

Jan 29 16:19:33 hello systemd: Removed slice User Slice of ambari-qa.

Jan 29 16:19:45 hello su: (to root) root on none

Jan 29 16:19:45 hello systemd: Started Session c94085 of user root.

Jan 29 16:19:56 hello su: (to ambari-qa) root on none

Jan 29 16:19:56 hello systemd: Created slice User Slice of ambari-qa.

Jan 29 16:19:56 hello systemd: Started Session c94086 of user ambari-qa.

Jan 29 16:20:02 hello systemd: Removed slice User Slice of ambari-qa.

lastlog

查看root和admin在最近20天内是否有登录

[root@hello ~]# lastlog -t 20|egrep "root|admin"

root                                       Fri Jan 29 16:21:46 +0800 2021

查看最近20天内登录的用户,除root和admin之外

[root@hello ~]# lastlog -t 20|egrep -v "root|admin"

Username         Port     From             Latest

ambari-qa                                  Fri Jan 29 16:22:24 +0800 2021

hdfs                                       Fri Jan 29 14:47:55 +0800 2021

hive                                       Fri Jan 29 14:48:05 +0800 2021

who

查询utmp文件并报告当前登录的每个用户

Who的缺省输出包括用户名、终端类型、登录日期及远程主机。

首先简单介绍一下Centos中记录登陆信息的日志文件有关当前登录用户的信息记录在文件utmp中;登录进入和退出纪录在文件wtmp中;最后一次登录文件可以用lastlog命令察看。

数据交换、关机和重起也记录在wtmp文件中。所有的纪录都包含时间戳。

每次有一个用户登录时,login程序在文件lastlog中察看用户的UID。如果找到了,则把用户上次登录、退出时间和主机名写到标准输出中,然后login程序在lastlog中纪录新的登录时间。

在新的lastlog纪录写入后,utmp文件打开并插入用户的utmp纪录。该纪录一直用到用户登录退出时删除。utmp文件被各种命令文件使用,包括who、w、users和finger。

下一步,login程序打开文件wtmp附加用户的utmp纪录。当用户登录退出时,具有更新时间戳的同一utmp纪录附加到文件中。wtmp文件被程序last和ac使用。

wtmp和utmp文件都是二进制文件,用户需要使用who、w、users、last和ac来使用这两个文件包含的信息。

如果指明了wtmp文件名,则who命令查询以前所有的登陆纪录。使用命令who /var/log/wtmp查看所有登陆记录

[root@hello ~]# who /var/log/wtmp

root     pts/0        2021-01-05 14:40 (10.xx.yy.zz)

root     pts/2        2021-01-05 15:16 (10.xx.yy.zz)

root     pts/3        2021-01-05 16:25 (10.xx.yy.zz)

root     pts/4        2021-01-05 16:30 (10.xx.yy.zz)

root     pts/5        2021-01-05 17:27 (10.xx.yy.zz)

root     pts/6        2021-01-05 17:27 (10.xx.yy.zz)

root     pts/0        2021-01-05 20:09 (10.xx.yy.zz)

last

命令详解

  功能说明:列出目前与过去登入系统的用户相关信息。

  语  法:last [-adRx][-f <记录文件>][-n <显示列数>][帐号名称...][终端机编号...]

  补充说明:单独执行last指令,它会读取位于/var/log目录下,名称为wtmp的文件,并把该给文件的内容记录的登入系统的用户名单全部显示出来。

  参  数:

  -a  把从何处登入系统的主机名称或IP地址,显示在最后一行。

  -d  将IP地址转换成主机名称。

  -f <记录文件>  指定记录文件。

  -n <显示列数>或-<显示列数>  设置列出名单的显示列数。

  -R  不显示登入系统的主机名称或IP地址。

  -x  显示系统关机,重新开机,以及执行等级的改变等信息。

查看自从文件第1次创建以来登录过的用户

last:last命令往回搜索wtmp来显示自从文件第一次创建以来登录过的用户

[root@sdc01 ~]# last

root     pts/2        10.xx.yy.vv    Fri Jan 29 15:25   still logged in

root     pts/0        10.xx.yy.vv    Fri Jan 29 14:44   still logged in

root     pts/4        10.xx.yy.vv    Fri Jan 29 11:27 - 11:30  (00:02)

root     pts/3        10.xx.yy.vv    Fri Jan 29 11:13   still logged in

root     pts/2        10.xx.yy.vv    Fri Jan 29 11:03 - 11:58  (00:55)

root     pts/0        10.xx.yy.vv    Fri Jan 29 09:25 - 11:41  (02:16)

root     pts/2        10.xx.yy.vv    Thu Jan 28 17:17 - 20:06  (02:49)

root     pts/0        10.xx.yy.vv    Thu Jan 28 16:51 - 20:06  (03:15)

root     pts/0        10.xx.yy.vv    Wed Jan 27 19:54 - 19:56  (00:02)

lsof

查看系统中最近的端口连接记录

可用于检查是否被别人攻击,扫描公网地址

# lsof -Pnl +M -i4 | grep "154"

[root@hello ~]# lsof -Pnl +M -i4 | grep "154"

sshd     30963        0    3u  IPv4  65160732      0t0  TCP 10.xx.yy.jj:22->10.xx.yy.ii:53374 (ESTABLISHED)

java    104937     1007  518u  IPv4 361154709      0t0  TCP 10.xx.yy.jj:8020->10.xx.yy.ii:33020 (ESTABLISHED)

java    104937     1007  544u  IPv4 361154787      0t0  TCP 10.xx.yy.jj:50070->10.xx.yy.kk:42802 (ESTABLISHED)

X 参考文献

[Linux]监控外部用户登录及外部主机连接情况的更多相关文章

  1. linux查看ssh用户登录日志与操作日志

    linux查看ssh用户登录日志与操作日志 2013-11-01转载   ssh用户登录日志 linux下登录日志在下面的目录里:  代码如下 复制代码 cd /var/log 查看ssh用户的登录日 ...

  2. Linux如何设置用户登录超时(闲置时间)vi /etc/profile ... export TMOUT=900

    Linux如何设置用户登录超时(闲置时间) 转载莫负寒夏ai 最后发布于2019-08-08 15:04:22 阅读数 1897  收藏 展开 1. 针对所有用户 # vi /etc/profile ...

  3. [转帖]Linux监测某一时刻对外的IP连接情况

    Linux监测某一时刻对外的IP连接情况 https://blog.csdn.net/twt326/article/details/81454171 公司机器有病毒 需要分析一下. 之前有需要,在CS ...

  4. linux中ftp用户登录密码忘记了怎么修改

    先来熟悉一下 vsftp 命令: 启动vsftp用命令: 1.service vsftpd start 重启vsftp用: www.111cn.net1.service vsftpd restart ...

  5. Ubuntu Linux启用root用户登录

    Ubuntu Linux有一个与众不同的特点,那就是初次使用时,你无法作为root来登录系统,为什么会这样?这就要从系统的安装说起.对于其他Linux系统来 说,一般在安装过程就设定root密码,这样 ...

  6. Linux 记录所有用户登录和操作的详细日志

    1.起因 最近Linux服务器上一些文件呗篡改,想追查已经查不到记录了,所以得想个办法记录下所有用户的操作记录. 一般大家通常会采用history来记录,但是history有个缺陷就是默认是1000行 ...

  7. Linux 禁止root 用户登录启用sudo

    1.添加sudo用户执行visudo命令,找到: 复制代码 代码如下: root ALL=(ALL) ALL 在下面增加:(注意,qianyunlai 是Linux新增的一个普通用户),没有的话可创建 ...

  8. linux 以root用户登录ftp

    ftp默认禁止以root用户登录. 可以修改 /etc/ftpusers 文件,把root注释掉,即可以root用户登录ftp

  9. linux基础之用户登录信息查看命令

    用户登录信息查看命令 1.who命令 同一个账号通过不同终端登录也属于不同的登录信息,这里不同的终端包含虚拟终端和模拟终端,因为一个用户通过一个终端登录属于一个session 基本介绍 打印当前系统上 ...

  10. linux系统root用户登录提示“鉴定故障”的解决办法

    同事第一次创建虚拟机,遇到此问题,此前我未曾遇到,搜索到的解决办法记录在此,以防之后忘记. 一.重启系统解决(搜索到的该解决办法较多):https://www.cnblogs.com/lippor/p ...

随机推荐

  1. 延期!欧盟新标EN IEC 62368-1:2020延至2024年7月6日生效

    近日,TC108X成员投票同意将EN IEC 62368-1:2020(对应IEC 62368-1第三版)的DOW (Date Of Withdrawn)日期由原先的2023年1月6日延长至2024年 ...

  2. Jmeter-接口测试(二)

    鉴权码获取: 1.通过接口获取 appid secret  (第三方用户唯一凭证, 第三方用户唯一凭证秘钥) 2.登录之后自动生成 username,password 一.jmeter 接口关联 1. ...

  3. selenium webdriver 无法选中元素,修改元素属性可见

    <ul data-v-6529428e="" class="el-dropdown-menu el-popper filter-dropdown el-dropdo ...

  4. 如何卸载inventor 2023?怎么把inventor彻底卸载删除干净重新安装的方法【转载】

    inventor 2023卸载重新安装方法,使用清理卸载工具箱完全彻底删除干净inventor 2023各种残留注册表和文件.inventor 2023显示已安装或者报错出现提示安装未完成某些产品无法 ...

  5. SQL Server 还原数据库

    1.备份要还原的数据库 选择要备份的数据库,右键单击,任务--备份. 2.备份完成后,将数据库还原 3.新建一个空的数据库,比如Gsy_TestNew,将备份的数据库还原到这个新的库上 4.右键单击[ ...

  6. python安装install

    pip3 install pyinstaller -i http://mirrors.aliyun.com/pypi/simple --trusted-host mirrors.aliyun.comp ...

  7. Linux中/etc目录下passwd和shadow文件

    /etc/passwd介绍 首先,通过cat /etc/passwd 来查看文件/etc/passwd中内容: root:x:0:0:root:/root:/bin/bash daemon:x:1:1 ...

  8. nojejs 弹出子窗口,取值后返回

    1.主窗口: <!DOCTYPE html> <html> <head> <meta charset="UTF-8"> <ti ...

  9. HPA 弹性伸缩

    在k8s中,我们使用pod对外提供服务,这个时候,需要以下两种情形需要关注: pod因为不明原因挂掉,导致服务不可用 pod在高负载的情况下,不能支持我们的服务 如果人工监控pods,人工调整副本,那 ...

  10. 制作mnist格式数据集

    import os from PIL import Image from array import * from random import shuffle # # 文件组织架构: # ├──trai ...