用户登录查看
w
查看目前登入系统的用户有那些人,以及他们正在执行的程序。
[root@localhost /]# w
12:31:16 up 2:46, 2 users, load average: 0.00, 0.01, 0.05
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root tty1 09:46 1:28m 0.23s 0.23s -bash
root pts/0 192.168.199.127 11:12 4.00s 0.35s 0.16s w
其中最上面一行:
12:31:16,显示当前时间
up 2:46, 当前系统运行了多长时间
2 users,当前有两个用户登录了
load average,分别对应前1分钟,5分钟,15分钟的平均负载。
TTY查看登陆方式,tty1说明是在终端上登陆的。pts说明是远程登陆的,0说明为从Window上登陆的。
FROM可以查看用户登陆的ip地址
LOGIN@表示登陆时间
IDLE表示静置的时间
JCPU和PCPU表示耗费的CPU的时间
WHAT表示当前在执行什么命令。
who
who查看当前系统登陆的用户
[root@localhost /]# who
root tty1 2017-04-28 09:46
root pts/0 2017-04-28 11:12 (192.168.199.127)
last
查看以前和当前用户登录的信息
[root@localhost /]# last
root pts/0 192.168.199.127 Fri Apr 28 11:12 still logged in
root pts/0 192.168.199.127 Fri Apr 28 09:47 - 11:04 (01:16)
root tty1 Fri Apr 28 09:46 still logged in
reboot system boot 3.10.0-327.el7.x Fri Apr 28 09:44 - 12:41 (02:56)
root pts/0 192.168.199.127 Tue Apr 25 18:54 - crash (2+14:50)
root tty1 Tue Apr 25 18:52 - crash (2+14:52)
reboot system boot 3.10.0-327.el7.x Tue Apr 25 18:49 - 12:41 (2+17:51)
haoye tty1 Tue Apr 25 13:17 - crash (05:32)
root pts/0 192.168.199.127 Tue Apr 25 13:12 - 13:13 (00:00)
root tty1 Tue Apr 25 13:10 - 13:16 (00:06)
reboot system boot 3.10.0-327.el7.x Tue Apr 25 13:09 - 12:41 (2+23:31)
root tty1 Tue Apr 25 12:58 - crash (00:10)
reboot system boot 3.10.0-327.el7.x Tue Apr 25 12:58 - 12:41 (2+23:43)
root tty1 Tue Apr 25 12:22 - crash (00:35)
reboot system boot 3.10.0-327.el7.x Tue Apr 25 12:22 - 12:41 (3+00:19)
root tty1 Tue Apr 25 11:52 - crash (00:30)
reboot system boot 3.10.0-327.el7.x Tue Apr 25 11:51 - 12:41 (3+00:49)
root tty1 Tue Apr 25 11:30 - crash (00:20)
reboot system boot 3.10.0-327.el7.x Tue Apr 25 11:27 - 12:41 (3+01:13)
可以看到,所有的用户登录的信息都可以查看得到。
lastlog
查看所有用户最后一次登陆的时间
[root@localhost /]# lastlog
Username Port From Latest
root pts/0 192.168.199.127 Fri Apr 28 11:12:56 +0800 2017
bin **Never logged in**
daemon **Never logged in**
adm **Never logged in**
lp **Never logged in**
sync **Never logged in**
shutdown **Never logged in**
halt **Never logged in**
mail **Never logged in**
operator **Never logged in**
games **Never logged in**
ftp **Never logged in**
nobody **Never logged in**
avahi-autoipd **Never logged in**
systemd-bus-proxy **Never logged in**
systemd-network **Never logged in**
dbus **Never logged in**
polkitd **Never logged in**
apache **Never logged in**
abrt **Never logged in**
libstoragemgmt **Never logged in**
tss **Never logged in**
postfix **Never logged in**
chrony **Never logged in**
sshd **Never logged in**
ntp **Never logged in**
tcpdump **Never logged in**
haoye tty1 Tue Apr 25 13:17:14 +0800 2017
其中有很多不能登陆的用户(伪用户)。
这个实际上查看的是/var/log/lastlog记录的信息。
[root@localhost /]# vim /var/log/lastlog
8³^BYpts/0^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@192.168.199.127^@^@^@^@^@^@^@^@^@^@^@^
这个文件是二进制文件,所以我们是不能直接查看的。
只能通过lastlog命令进行查看,这是为了安全,防止黑客删除登陆记录。
退出登录
logout