12.3.2 用户登录日志
/var/log/wtmp和/var/log/btmp是Linux系统上用于保存用户登录信息的日志文件。其中wtmp用于保存用户成功登录的记录,而btmp则用于保存用户登录失败的日志记录,它们为系统安全审计提供了重要的信息依据。这两个文件都是二进制的,无法直接使用文本编辑工具打开,必须通过last和lastb命令进行查看。如果查看成功的用户登录记录,可以使用如下命令:
# last
//用户sam于9月9日10点10分从客户端192.168.7.174登录服务器,且尚未退出登录
sam pts/3 192.168.7.174 Tue Sep 9 10:10 still logged in
// 用户kelvin于9月8日20点01分从客户端192.168.6.217登录服务器,现已经退出,
登录时间持续3分钟19秒
kelvin pts/3 192.168.6.217 Mon Sep 8 20:01 - 23:20 (03:19)
ken pts/3 192.168.6.217 Mon Sep 8 19:49 - 19:59 (00:10)
sam pts/4 :0.0 Mon Sep 8 16:41 still logged in
sam pts/3 172.30.11.221 Mon Sep 8 11:05 - 17:25 (06:19)
ken pts/2 demoserver Mon Sep 8 10:47 still logged in
//用户sam于9月8日10点45分从本地登录服务器,且尚未退出登录
sam pts/1 :0.0 Mon Sep 8 10:45 still logged in
sam :0 Mon Sep 8 10:38 still logged in
sam :0 Mon Sep 8 10:38 - 10:38 (00:00)
sam pts/1 :0.0 Mon Sep 8 10:37 - 10:38 (00:00)
sam :0 Mon Sep 8 10:37 - 10:38 (00:00)
sam :0 Mon Sep 8 10:37 - 10:37 (00:00)
//系统上一次重启的时间为9月8日10点35分
reboot system boot 2.6.18-92.el5 Mon Sep 8 10:35 (23:35)
wtmp begins Mon Sep 8 10:35:25 2008 // wtmp文件自9月8日10点35分开始记录
// 登录日志
每行输出结果中都包括登录用户名、机器名或IP、尝试登录时间、运行时间等信息,其中still logged in表示该登录会话依然存在,用户并未退出登录。如果要查看不成功的用户登录记录,可使用如下命令:
# lastb
//用户ken于9月8日23点08分试图登录系统失败
ken pts/5 demoserver Mon Sep 8 23:08 - 23:08 (00:00)
sam pts/5 demoserver Mon Sep 8 21:28 - 21:28 (00:00)
Kelvin pts/5 demoserver Mon Sep 8 21:07 - 21:07 (00:00)
sam pts/5 demoserver Mon Sep 8 21:07 - 21:07 (00:00)
pts/2 demoserver Mon Sep 8 10:47 - 10:47 (00:00)
//btmp文件自9月8日10点47分开始记录日志
btmp begins Mon Sep 8 10:47:23 2008
系统管理员应该定期查看上述两个日志文件,检查是否有某些非法用户登录系统或者尝试登录系统,以确保系统安全。