本文爲大家分享一篇總結linux環境下的last和lastb命令,具有很好的參考價值,希望能幫助到大家。
那還是簡單粗暴點,直入主題吧。
last命令
1.作用
last命令用於顯示用戶最近登錄信息。單獨執行last命令,它會讀取/var/log/wtmp的文件,並把該文件中記錄的登入系統的用戶名單全部顯示出來。
注意:last是顯示成功登錄的信息
2.命令參數:
-a:把從何處登入系統的主機名稱或ip地址,顯示在最後一行;
-d:將IP地址轉換成主機名稱;
-f <記錄文件>:指定記錄文件。
-n <顯示行數>或-<顯示行數>:設置列出名單的顯示列數;
-R:不顯示登入系統的主機名稱或IP地址;
-x:顯示系統關機,重新開機,以及執行等級的改變等信息。
3.表現形式:
4.解釋
第一列:用戶名
第二列:終端位置
第三列:登錄ip或者內核
第四列:開始時間
第五列:結束時間(still login in 還未退出 down 直到正常關機 crash 直到強制關機)
第六列:持續時間
注意:wtmp,btmp,utmp均爲二進制文件,不能使用cat查看,可用last打開。
lastb命令
1.作用
linux lastb命令用於列出登入系統失敗的用戶相關信息。
單獨執行lastb指令,它會讀取位於/var/log目錄下,名稱爲btmp的文件,並把該文件內容記錄的登入失敗的用戶名單全部顯示出來。
2.參數
-a 把從何處登入系統的主機名稱或IP地址顯示在最後一行。
-d 將IP地址轉換成主機名稱。
-f<記錄文件> 指定記錄文件。
-n<顯示列數>或-<顯示列數> 設置列出名單的顯示列數。
-R 不顯示登入系統的主機名稱或IP地址。
-x 顯示系統關機,重新開機,以及執行等級的改變等信息。
3.linux下的主要日誌文件
1. 進程日誌(acct/pacct: 記錄用戶命令)
2. 錯誤日誌(/var/log/messages:系統級信息;access-log:記錄HTTP/WEB的信息)
3. 連接日誌(/var/log/wtmp,/var/log/btmp,/var/run/utmp)
>>>有關當前登錄用戶的信息記錄在文件utmp中;
>>>登錄進入和退出紀錄在文件wtmp中;
>>>最後一次登錄文件可以用lastlog命令察看;
>>>數據交換、關機和重起也記錄在wtmp文件中;
好的,講完last與lastb的用法後,我們思考一個問題:既然可以有w -f,last,
lastb等命令查看登錄成功的記錄,那麼自然進入者方面也可以通過一些手段來清除這些記錄。
1,清除登錄成功的信息
[root@localhost root]# echo > /var/log/wtmp
//此文件默認打開時亂碼,可查到ip等信息
[root@localhost root]# last
//此時即查不到用戶登錄信息
2,清除登錄失敗的信息
[root@localhost root]# echo > /var/log/btmp
//此文件默認打開時亂碼,可查到登陸失敗信息
[root@localhost root]# lastb
//查不到登陸失敗信息
3,清除歷史執行的命令
[root@localhost root]# history -c //清空歷史執行命令
[root@localhost root]# echo > ~/.bash_history
//或清空用戶目錄下的這個記錄歷史命令的文件即可
4,導入空的歷史命令文件
[root@localhost root]# vi /root/history //新建記錄文件
[root@localhost root]# history -c //清除記錄
[root@localhost root]# history -r /root/history.txt //導入記錄
[root@localhost root]# history //查詢導入結果
總結:服務器安全方面也是運維的重中之重,希望看完對大家有所收穫,在受到攻擊時,可以通過last,lastb這樣的命令快速響應,找到攻擊源頭做出決斷。