8.7.1-4 Linux记录用户登录信息文件
Linux系统登录连接日志的文件有/var/run/utmp, /var/log/wtmp,/var/log/btmp这3个重要文件,这些文件不能使用编辑器打开,可以使用strins命令查看部分信息
/var/run/utmp 记录当前正在登录系统的用户信息
/var/log/wtmp 记录当前正在登录系统和历史登录系统的用户信息,包括关机,重启日志也记录在wtmp文件中,通常使用last,lastb命令进行读取,最后一次登录文件可用lastlog命令
/var/log/btmp btmp记录失败的登录尝试信息,一般使用lastb命令可以读取查看,也可以使用last -f /var/log/btmp命令查看
常用的命令
last -n 5 -a -i 显示前5行的登录信息,并显示IP地址且将IP地址显示在最后一行last -n 8 -f /var/log/btmp 显示远程SSH登录的详细信息last -F 显示完整的登录登出信息
last -x 列出带系统关机,重启等信息实际操作的过程中,可以将目标沦陷的主机上的日志文件wtmp,btmp拷贝到本地重新改个名字(不要跟原来一样),然后使用last -f /var/log/wtmp8 等操作
登录用户统计信息
last | awk '{shit[$3]++} {for (a in shit) prin