Linux系统登录相关(命令,应急响应可以用到)
whoami:查看當前用戶
who:查看當前登錄系統的所有用戶
- tty指的是主機的圖形化界面的面板
- pts/x指的是遠程ssh連接的窗口
who -b:主機的上一次啟動時間
w:顯示已經登陸系統的用戶列表,并顯示用戶正在執行的指令。
users:顯示當前登錄系統的所有用戶的用戶列表。
last:查看最近登錄成功的用戶及信息,該命令是讀取的是 /var/log/wtmp?文件
第1列是登錄成功的用戶名,第2列是pts終端,第3列是登錄的ip,第4列是時間日期(包括登錄時間到退出時間,still?logged?in代表現在該用戶還登錄著)
攻擊者在侵入目標主機后,一般都會將 /var/log/wtmp?文件刪掉,這樣last就看不到任何東西了。黑客刪除只能將整個文件刪除,而不能只是說刪除某一條或者某幾條記錄。
lastb:查看最近登錄失敗的用戶及信息,該命令是讀取的是 /var/log/btmp?文件
第1列是登錄失敗的用戶名,第2列的ssh:notty說明登錄失敗,第3列是登錄的ip,第4列是時間日期
如下,說明有黑客在嘗試爆破你的ssh賬號密碼。黑客如果通過爆破你的SSH賬號進入你主機的話,一般會將 /var/log/btmp?文件刪掉,這樣就看不到登錄失敗的記錄了。黑客刪除只能將整個文件刪除,而不能只是說刪除某一條或者某幾條記錄。
lastlog:顯示系統中所有用戶最近一次登錄信息
與系統登錄相關的日志
/var/log/secure
除了/var/log/secure以外,還有三個存儲著之前的數據。如果后面的數據慢慢多了,就會刪除最早的這些。
/var/log/secure 一般用來記錄安全相關的信息,記錄最多的是哪些用戶登錄服務器的相關日志,如果該文件很大,說明有人在破解你的 root 密碼
這個是??/var/log/secure?里的登錄日志 ,第一行說明root用戶切換登錄xie用戶成功。第二三行說明xie用戶想登錄bob用戶然后認證失敗了,也就是密碼錯誤。第四行說明xie用戶退出登錄了。
#查看登錄失敗的那一行,然后打印出第11列(從后數),?然后排序,然后去除重復,然后按第一列排序 ,然后查看前五個 grep 'Fail' /var/log/secure | awk '{print $11}' | sort |uniq -c | sort -k1 -n -r | head -5? ??
總結
以上是生活随笔為你收集整理的Linux系统登录相关(命令,应急响应可以用到)的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Python flask使用实例
- 下一篇: linux 其他常用命令