独家防御在日常运维和安全审计中,了解服务器上谁登录了系统、何时登录、以及执行了哪些操作,是非常关键的。
Linux 提供了多种工具和日志机制,帮助管理员追踪用户登录信息和操作记录。本文将介绍几种常用的方法。客服 @LINKCLi_bot
一、查看用户登录记录
1. 使用 who 命令
查看当前正在登录的用户:
who2. 使用 w 命令
显示登录用户及其活动:
w3. 使用 last 命令
查看系统启动以来的历史登录记录:
last4. 使用 lastb 命令
查看失败的登录尝试(需 root 权限):
sudo lastb二、查看用户操作命令历史
1. 使用 history
查看当前 shell 用户的历史命令:
history例如过滤删除操作:
history | grep rm2. 使用审计系统 auditd
记录系统调用级别的操作,适合高安全场景。
安装命令:
sudo apt install auditd查看日志:
ausearch -x /bin/ls三、查看 SSH 登录日志
SSH 登录信息通常记录在以下文件中:
- Ubuntu/Debian:
/var/log/auth.log - CentOS/RHEL:
/var/log/secure
示例命令:
sudo grep "sshd" /var/log/auth.log查看某个 IP 的连接记录:
sudo grep "192.168.1.100" /var/log/auth.log四、防止篡改与审计建议
- 开启 auditd: 对关键操作进行记录。
- 增强 shell 日志: 设置环境变量记录命令。
export PROMPT_COMMAND='RETRN_VAL=$?;logger -p local6.debug "$(whoami) $(history 1)"'并在 /etc/rsyslog.conf 中添加:
local6.* /var/log/cmdlog.log五、总结
| 工具/命令 | 用途 |
|---|---|
who, w |
查看当前登录用户及活动 |
last, lastb |
查看历史登录和失败尝试 |
history |
查看用户命令历史 |
auditd |
系统级审计(高级) |
| 系统日志文件 | SSH 登录记录 |
通过合理组合这些工具,管理员可以全面了解服务器的登录与操作情况,增强系统安全性,快速响应异常行为。
联系我们 - LINK 云服务
LINK 提供香港、日本、韩国、美国等地区的云主机与独立服务器,支持站群、高防、大带宽、抗投诉,直连大陆三网,全球线路高速直达。
- 全球节点支持,大带宽接入
- 免费真机测试,满意再下单
- USDT 安全支付
- 域名注册支持隐私保护
