本文主要為大家分享一篇總結linux環境下的last和lastb的命令,具有很好的參考價值,希望對大家有所幫助。一起跟隨小編過來看看吧,希望能幫助到大家。
一、背景
??????今天早上看到一篇關于服務器被破解當礦機的文章。在文章里面看到作者通過lastb命令找到攻擊者的登錄歷史,覺得還是很厲害的,因此總結一下last和lastb相關的命令。
二、last命令
1、作用:
??????last命令用于顯示用戶最近登錄信息。單獨執行last命令,它會讀取/var/log/wtmp的文件,并把該給文件的內容記錄的登入系統的用戶名單全部顯示出來。成功登錄的信息。
2、命令參數:
-a:把從何處登入系統的主機名稱或ip地址,顯示在最后一行; -d:將IP地址轉換成主機名稱; -f?:指定記錄文件。 -n?或-:設置列出名單的顯示列數; -R:不顯示登入系統的主機名稱或IP地址; -x:顯示系統關機,重新開機,以及執行等級的改變等信息。
3、表現形式
4、解釋
???第一列:用戶名 ???????????第二列:終端位置 ???????????第三列:登錄ip或者內核 ???????????第四列:開始時間 ???????????第五列:結束時間(still?login?in?還未退出??down?直到正常關機?crash?直到強制關機) ???????????第六列:持續時間
wtmp,btmp,utmp均為二進制文件,不能用cat查看,可用last打開。
二、lastb命令
1、作用:
??????linux lastb命令用于列出登入系統失敗的用戶相關信息。單獨執行lastb指令,它會讀取位于/var/log目錄下,名稱為btmp的文件,并把該文件內容記錄的登入失敗的用戶名單,全部顯示出來。
2、參數
-a? 把從何處登入系統的主機名稱或IP地址顯示在最后一行。 -d? 將IP地址轉換成主機名稱。 -f? 指定記錄文件。 -n或-? 設置列出名單的顯示列數。 -R? 不顯示登入系統的主機名稱或IP地址。 -x? 顯示系統關機,重新開機,以及執行等級的改變等信息。
3、linux下的主要日志文件
1.?進程日志(acct/pacct:?記錄用戶命令) 2.?錯誤日志(/var/log/messages:系統級信息;access-log:記錄HTTP/WEB的信息) 3.?連接日志(/var/log/wtmp,/var/log/btmp,/var/run/utmp) >>>有關當前登錄用戶的信息記錄在文件utmp中; >>>登錄進入和退出紀錄在文件wtmp中; >>>最后一次登錄文件可以用lastlog命令察看; >>>數據交換、關機和重起也記錄在wtmp文件中;
三、如何清除用戶的登錄信息
既然可以用last等命令查看登錄成功的記錄,那么自然進入者方面也可以通過一些手段來清除這些記錄。
1、清除登錄成功信息
清除登陸系統成功的記錄 [root@localhost?root]#?echo?>?/var/log/wtmp?//此文件默認打開時亂碼,可查到ip等信息 [root@localhost?root]#?last?//此時即查不到用戶登錄信息
2、清除登錄失敗的信息
清除登陸系統失敗的記錄 [root@localhost?root]#?echo?>?/var/log/btmp?//此文件默認打開時亂碼,可查到登陸失敗信息 [root@localhost?root]#?lastb?//查不到登陸失敗信息
3、清除歷史執行的命令
清除歷史執行命令 [root@localhost?root]#?history?-c?//清空歷史執行命令 [root@localhost?root]#?echo?>?./.bash_history?//或清空用戶目錄下的這個文件即可
4、導入空的歷史命令文件
導入空歷史記錄 [root@localhost?root]#?vi?/root/history?//新建記錄文件 [root@localhost?root]#?history?-c?//清除記錄? [root@localhost?root]#?history?-r?/root/history.txt?//導入記錄? [root@localhost?root]#?history?//查詢導入結果
??????服務器安全方面也是日常開發的重中之重。希望能好好學習這塊,雖然現在還沒遇到攻擊,但誰也保不準以后會怎樣。記錄一下。
end
? 版權聲明
文章版權歸作者所有,未經允許請勿轉載。
THE END