使用last、lastlog和faillog命令及/var/log/wtmp、/var/log/lastlog、/var/log/auth.log等日志文件可全面查看linux用户登录历史,包括成功与失败的登录记录、登录时间、来源IP及系统重启信息。
在Linux中查看用户登录历史,主要依赖系统记录的日志文件和相关命令工具。通过这些信息可以了解谁在什么时候从哪里登录过系统,对系统安全审计很有帮助。
使用 last 命令查看登录记录
last 是最常用的查看用户登录历史的命令,它读取 /var/log/wtmp 文件,显示用户最近的登录和登出记录。
- 直接运行 last 显示所有用户的登录历史
- 查看特定用户的登录记录:例如 last username
- 输出包含登录用户名、终端、来源IP、登录时间、登出时间和持续时长
- 可以看到 reboot 记录,表示系统重启时间
使用 lastlog 查看用户最后一次登录
lastlog 命令读取 /var/log/lastlog 文件,显示每个用户最后一次成功登录的时间和位置。
- 运行 lastlog 显示所有用户最后一次登录信息
- 查看特定用户:lastlog -u username
- 长时间未登录的账户会显示“**Never logged in**”
检查失败登录尝试(使用 faillog)
faillog 用于查看登录失败的历史,有助于发现暴力破解行为。
- 执行 faillog 显示失败登录记录
- 查看某用户:faillog -u username
- 可重置失败计数:faillog -r
- 日志来自 /var/log/faillog
查看系统认证日志(/var/log/auth.log 或 /var/log/secure)
更详细的登录活动(包括ssh登录尝试)通常记录在认证日志中。
- ubuntu/debian 系统查看:tail /var/log/auth.log
- centos/RHEL 系统查看:tail /var/log/secure
- 可用 grep 过滤关键词,如 grep “Failed” /var/log/auth.log
- 可看到来源IP、认证方式、是否成功等详细信息
基本上就这些。结合 last、lastlog 和系统日志,能全面掌握用户的登录行为。注意这些日志可能被清理或轮转,长期记录需配合日志管理策略。