在日常使用 Ubuntu 或其他 Linux 系统时,了解谁曾经登录过你的系统、何时登录、从哪里登录,对于系统安全和故障排查至关重要。本文将手把手教你如何使用 last 命令来查看用户登录历史,即使是 Linux 新手也能轻松上手。
什么是 last 命令?
last 是 Linux 系统中一个非常实用的命令行工具,它会读取 /var/log/wtmp
文件(该文件记录了所有用户的登录、登出及系统重启等事件),并以人类可读的方式展示出来。
基本用法:查看完整的登录历史
打开终端(Terminal),输入以下命令:
last
执行后,你会看到类似如下的输出:
alice pts/0 192.168.1.100 Mon Jun 10 09:30 - 17:45 (08:15)bob tty1 Mon Jun 10 08:15 - down (09:30)reboot system boot 5.15.0-76-generic Mon Jun 10 08:10 - 17:45 (09:35)
每一行包含以下信息:
用户名:如alice、
bob,或特殊条目如
reboot(表示系统重启)。 终端类型:如
pts/0(远程 SSH 登录)、
tty1(本地物理终端)。 来源 IP 或主机名:远程登录时显示 IP 地址,本地登录则为空。 登录时间与登出时间:包括持续时长。
常用选项与技巧
1. 只查看特定用户的登录记录
例如,只查看用户
alice的登录历史:
last alice
2. 限制显示的行数
只显示最近 5 条记录:
last -n 5
3. 查看关机或重启记录
系统重启会被记录为
reboot用户:
last reboot
4. 查看失败的登录尝试(需配合其他日志)
注意:
last命令不显示失败的登录尝试。失败记录通常保存在
/var/log/btmp中,可使用
lastb命令查看(需要 root 权限):
sudo lastb
安全提示:保护登录日志
由于
/var/log/wtmp和
/var/log/btmp包含敏感信息,建议: 定期备份这些日志文件。 限制非管理员用户对日志文件的访问权限。 结合
fail2ban等工具自动封禁恶意 IP,提升 Linux系统安全。
总结
通过
last命令,你可以轻松查看用户登录历史,快速掌握系统访问情况。无论是日常运维还是安全审计,这个命令都是不可或缺的工具。掌握它,你就迈出了保障 Ubuntu 系统安全的重要一步!
记住,良好的日志管理习惯是构建安全系统的基石。希望这篇教程能帮助你更好地理解和使用
last命令!
关键词:Ubuntu last命令, 查看用户登录历史, Linux系统安全, 用户登录记录
