Linux系统登录相关

whoami：查看当前用户

who：查看当前登录系统的所有用户

• tty指的是主机的图形化界面的面板
• pts/x指的是远程ssh连接的窗口

who -b:主机的上一次启动时间

w：显示已经登陆系统的用户列表，并显示用户正在执行的指令。

users：显示当前登录系统的所有用户的用户列表。

last：查看最近登录成功的用户及信息，该命令是读取的是 /var/log/wtmp 文件

第1列是登录成功的用户名，第2列是pts终端，第3列是登录的ip，第4列是时间日期(包括登录时间到退出时间，still logged in代表现在该用户还登录着)

攻击者在侵入目标主机后，一般都会将 /var/log/wtmp 文件删掉，这样last就看不到任何东西了。黑客删除只能将整个文件删除，而不能只是说删除某一条或者某几条记录。

lastb：查看最近登录失败的用户及信息，该命令是读取的是 /var/log/btmp 文件

第1列是登录失败的用户名，第2列的ssh:notty说明登录失败，第3列是登录的ip，第4列是时间日期

如下，说明有黑客在尝试爆破你的ssh账号密码。黑客如果通过爆破你的SSH账号进入你主机的话，一般会将 /var/log/btmp 文件删掉，这样就看不到登录失败的记录了。黑客删除只能将整个文件删除，而不能只是说删除某一条或者某几条记录。

lastlog：显示系统中所有用户最近一次登录信息

与系统登录相关的日志

/var/log/secure

除了/var/log/secure以外，还有三个存储着之前的数据。如果后面的数据慢慢多了，就会删除最早的这些。

/var/log/secure 一般用来记录安全相关的信息，记录最多的是哪些用户登录服务器的相关日志，如果该文件很大，说明有人在破解你的 root 密码

这个是  /var/log/secure 里的登录日志 ，第一行说明root用户切换登录xie用户成功。第二三行说明xie用户想登录bob用户然后认证失败了，也就是密码错误。第四行说明xie用户退出登录了。

 grep 'Fail' /var/log/secure | awk '{print $11}' | sort |uniq -c | sort -k1 -n -r | head -5     #查看登录失败的那一行，然后打印出第11列(从后数)， 然后排序，然后去除重复，然后按第一列排序 ，然后查看前五个