在Linux系统中,登录日志是系统管理员监控和审计系统使用情况的重要工具,以下是关于Linux登录日志的详细介绍:
Linux登录日志文件
| 文件路径 | 描述 | 默认命令 | 备注 |
| /var/log/wtmp | 记录每个用户的登录、注销及系统的启动、停机事件 | last | 二进制日志文件,随系统运行时间增加而增大。 |
| /var/log/btmp | 记录失败的登录尝试信息 | lastb | 二进制日志文件,记录登录失败的详细信息。 |
| /var/run/utmp | 记录当前正在登录系统的用户信息 | who, w, users | 提供当前系统会话的快照,包括登录名、终端设备等。 |
| /var/log/lastlog | 列出所有用户最后登录信息 | lastlog | 显示登录名、端口号(tty)和上次登录时间。 |
| /var/log/auth.log | 包含认证相关的日志信息 | cat, less | 可以通过sudo权限查看,包含登录者的IP地址、登录时间等信息。 |
查看登录日志的命令
| 命令 | 功能 | 示例 |
| last | 显示所有用户的登录历史记录 | last 或last -f /var/log/wtmp。 |
| who | 显示当前登录系统的用户信息 | who。 |
| lastlog | 显示所有用户上次登录的信息 | lastlog。 |
| lastb | 显示登录失败的记录 | lastb。 |
| ac | 输出所有用户总的连接时间 | ac。 |
| journalctl | 管理和查看系统日志,可用于查看SSH登录事件 | journalctl _COMM=sshd。 |
脚本生成操作历史
在Linux系统中,可以通过在/etc/profile文件中添加脚本来记录每个登录用户的操作历史,脚本会在用户登录时创建以用户名和IP地址命名的文件,并记录用户的操作历史。
(图片来源网络,侵删)
PS1="whoami@hostname:"'[$PWD]'<br/>USER_IP=who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'<br/>if [ "$USER_IP" = "" ]<br/>then<br/>USER_IP=hostname<br/>fi<br/>if [ ! -d /tmp/dbasky ]<br/>then<br/>mkdir /tmp/dbasky<br/>chmod 777 /tmp/dbasky<br/>fi<br/>if [ ! -d /tmp/dbasky/${LOGNAME} ]<br/>then<br/>mkdir /tmp/dbasky/${LOGNAME}<br/>chmod 300 /tmp/dbasky/${LOGNAME}<br/>fi<br/>export HISTSIZE=4096<br/>DT=date "+%Y-%m-%d_%H:%M:%S"<br/>export HISTFILE="/tmp/dbasky/${LOGNAME}/${USER_IP}-dbasky.$DT"<br/>chmod 600 /tmp/dbasky/${LOGNAME}/*dbasky* 2>/dev/null |
通过上述方法和命令,Linux系统管理员可以有效地监控和审计系统的登录活动,确保系统的安全性和合规性。
各位小伙伴们,我刚刚为大家分享了有关linux 登入日志的知识,希望对你们有所帮助。如果您还有其他相关问题需要解决,欢迎随时提出哦!
(图片来源网络,侵删)
本文来源于互联网,如若侵权,请联系管理员删除,本文链接:https://www.9969.net/72352.html
