linux 查看用戶登錄信息

查看用戶登錄歷史，讀取的是/var/log/wtmp文件中的內(nèi)容，此文件為二進制格式，無法直接查看其內(nèi)容。

參數(shù)

示例

無參數(shù)

查看指定用戶登錄時間

-a：將登陸ip顯示在最后一行

-d：將主機名轉(zhuǎn)換為IP地址

-f：讀取特定文件

-F：顯示完整時間

i：顯示IP

因為是本地登錄，所以是0.0.0.0?

-n：設置列出名單的顯示列數(shù)

-R：不顯示主機名

-t：查看指定時間之前的用戶登錄歷史

顯示2022年01月10日00時00分00秒之前登錄的用戶?

-s：查看指定時間之后的用戶登錄歷史

顯示2022年01月10日00時00分00秒之后登錄的用戶?

-p：顯示指定時間登錄的用戶信息

顯示2022年01月09日登錄的用戶?

-w：顯示完整用戶名和主機名稱

-x：顯示系統(tǒng)開關(guān)機以及執(zhí)行等級信息

用于列出登入系統(tǒng)失敗的用戶相關(guān)信息。讀取的是/var/log/btmp文件 需要sudo權(quán)限?

參數(shù)

用法與last基本一致

可簡單查看所有用戶最后一次的登陸時間，默認是讀取/var/log/lastlog文件內(nèi)容

參數(shù)

示例

無參數(shù)

-b：顯示哪天之前登錄的用戶

-c：清除指定用戶信息，需要和-u配合使用

-S：需配合-u指定用戶，將指定用戶的登錄時間定為當前時間

-t：顯示指定天數(shù)以來的登錄信息

-u：查看指定用戶的信息

顯示系統(tǒng)中有哪些使用者正在使用

參數(shù)

-a：顯示所有信息

-b：顯示啟動信息，可以用于查詢啟動時間

-d：顯示退出的進程。

-H：顯示標題欄

-l：顯示已登錄用戶的信息

-m：顯示精簡信息

-q：顯示當前有幾個用戶正在使用

-r：顯示本地系統(tǒng)節(jié)點的運行級別

-s：僅列出名字、線路和時間字段，等同于不加參數(shù)

-u：顯示每個當前用戶的用戶名、tty、登錄時間、線路活動和進程標識。

-T：顯示 tty 終端的狀態(tài)，“+”表示對任何人可寫，“-”表示僅對 root 用戶或所有者可寫，“？”表示遇到線路故障。

用于顯示目前登入系統(tǒng)的用戶信息。與who的區(qū)別：w 命令除了能知道目前已登陸的用戶信息，還可以知道每個用戶執(zhí)行任務的情況。

參數(shù)

示例

無參數(shù)

-h：不顯示標題

-u：忽略執(zhí)行程序的名稱

-f：不顯示遠程主機名字段

就是不顯示from字段?

-o：使用舊樣式

缺少幾個字段的數(shù)據(jù)?

-i：顯示IP地址或主機名

顯示當前當?shù)卿浀挠脩舻挠脩裘?

參數(shù)

命令后面接文件,常用的文件有/var/log/wtmp，/var/run/utmp

示例

還可以進行統(tǒng)計?

以上的方法都是查看正常使用賬號密碼登錄的賬號的方法。反彈shell的統(tǒng)計和查看方法不在其中。一般反彈shell都會調(diào)用/bin/bash可/bin/sh。因此，我們可以借助這個方法，查看進程進行篩選。例如：

ps -ef|grep "/bin/bash"`
或
ps -ef|grep "sh"
或
ps -ef|grep "socat"