Cet article partage principalement avec vous un résumé des commandes last et lastb dans l'environnement Linux. Il a une bonne valeur de référence et j'espère qu'il sera utile à tout le monde. Suivons l'éditeur pour y jeter un œil, j'espère que cela pourra aider tout le monde.
1. Contexte
J'ai vu ce matin un article sur un serveur piraté et utilisé comme machine de minage. Dans l'article, j'ai vu que l'auteur utilisait la commande lastb pour trouver l'historique de connexion de l'attaquant. Je pensais que c'était assez puissant, j'ai donc résumé les commandes liées à last et lastb.
1. Fonction :
La dernière commande est utilisée pour afficher les informations de connexion récentes de l'utilisateur. Exécutez la dernière commande seule, elle lira le fichier /var/log/wtmp et affichera la liste de tous les utilisateurs connectés au système enregistrés dans le fichier. Informations de connexion réussie .
2. Paramètres de commande :
-a:把从何处登入系统的主机名称或ip地址,显示在最后一行; -d:将IP地址转换成主机名称; -f <记录文件>:指定记录文件。 -n <显示列数>或-<显示列数>:设置列出名单的显示列数; -R:不显示登入系统的主机名称或IP地址; -x:显示系统关机,重新开机,以及执行等级的改变等信息。
3. Formulaire d'expression
4. Explication
第一列:用户名 第二列:终端位置 第三列:登录ip或者内核 第四列:开始时间 第五列:结束时间(still login in 还未退出 down 直到正常关机 crash 直到强制关机) 第六列:持续时间
wtmp, btmp et utmp sont des fichiers binaires qui ne peuvent pas être visualisés avec cat et peuvent être ouverts avec last.
1. Fonction :
La commande Linux lastb est utilisée pour répertorier les informations sur les utilisateurs qui n'ont pas réussi à se connecter au système. Exécutez la commande lastb seule, elle lira le fichier nommé btmp situé dans le répertoire /var/log, et affichera toute la liste des échec de connexion utilisateurs enregistrés dans le fichier.
2. Paramètres
-a 把从何处登入系统的主机名称或IP地址显示在最后一行。 -d 将IP地址转换成主机名称。 -f<记录文件> 指定记录文件。 -n<显示列数>或-<显示列数> 设置列出名单的显示列数。 -R 不显示登入系统的主机名称或IP地址。 -x 显示系统关机,重新开机,以及执行等级的改变等信息。
3. Principaux fichiers journaux sous Linux
1. 进程日志(acct/pacct: 记录用户命令) 2. 错误日志(/var/log/messages:系统级信息;access-log:记录HTTP/WEB的信息) 3. 连接日志(/var/log/wtmp,/var/log/btmp,/var/run/utmp) >>>有关当前登录用户的信息记录在文件utmp中; >>>登录进入和退出纪录在文件wtmp中; >>>最后一次登录文件可以用lastlog命令察看; >>>数据交换、关机和重起也记录在wtmp文件中;
Étant donné que vous pouvez utiliser last et d'autres commandes pour afficher les enregistrements des connexions réussies, les entrants naturels peuvent également utiliser certains moyens pour effacer ces enregistrements.
1. Effacer les informations de réussite de la connexion
清除登陆系统成功的记录 [root@localhost root]# echo > /var/log/wtmp //此文件默认打开时乱码,可查到ip等信息 [root@localhost root]# last //此时即查不到用户登录信息
2. Effacer les informations d'échec de connexion
清除登陆系统失败的记录 [root@localhost root]# echo > /var/log/btmp //此文件默认打开时乱码,可查到登陆失败信息 [root@localhost root]# lastb //查不到登陆失败信息
3. Effacer les commandes historiques exécutées
清除历史执行命令 [root@localhost root]# history -c //清空历史执行命令 [root@localhost root]# echo > ./.bash_history //或清空用户目录下的这个文件即可
4. Importer les fichiers de commandes historiques vides
导入空历史记录 [root@localhost root]# vi /root/history //新建记录文件 [root@localhost root]# history -c //清除记录 [root@localhost root]# history -r /root/history.txt //导入记录 [root@localhost root]# history //查询导入结果
La sécurité du serveur est également un développement quotidien. priorité absolue. J'espère pouvoir bien apprendre cet aspect. Même si je n'ai pas encore été attaqué, personne ne peut prédire ce qui se passera dans le futur. Enregistrez-le.
fin
Recommandations associées :
1. Comment effacer les enregistrements de connexion des utilisateurs et l'historique des commandes sous Linux
2. du dernier sous les commandes Linux et leurs sources de données
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!