linux环境下的last和lastb命令

本文为大家分享一篇总结linux环境下的last和lastb命令，具有很好的参考价值，希望能帮助到大家。

那还是简单粗暴点，直入主题吧。

last命令

1.作用

last命令用于显示用户最近登录信息。单独执行last命令，它会读取/var/log/wtmp的文件，并把该文件中记录的登入系统的用户名单全部显示出来。

​注意：last是显示成功登录的信息

2.命令参数：

-a：把从何处登入系统的主机名称或ip地址，显示在最后一行；-d：将IP地址转换成主机名称；-f <记录文件>：指定记录文件。-n <显示行数>或-<显示行数>：设置列出名单的显示列数；-R：不显示登入系统的主机名称或IP地址；-x：显示系统关机，重新开机，以及执行等级的改变等信息。

3.表现形式：

4.解释

第一列：用户名第二列：终端位置第三列：登录ip或者内核第四列：开始时间第五列：结束时间（still login in 还未退出  down 直到正常关机 crash 直到强制关机）第六列：持续时间

注意：wtmp,btmp,utmp均为二进制文件，不能使用cat查看，可用last打开。

lastb命令

1.作用

linux  lastb命令用于列出登入系统失败的用户相关信息。

单独执行lastb指令，它会读取位于/var/log目录下，名称为btmp的文件，并把该文件内容记录的登入失败的用户名单全部显示出来。

2.参数

-a 　把从何处登入系统的主机名称或IP地址显示在最后一行。-d 　将IP地址转换成主机名称。-f<记录文件> 　指定记录文件。-n<显示列数>或-<显示列数> 　设置列出名单的显示列数。-R 　不显示登入系统的主机名称或IP地址。-x 　显示系统关机，重新开机，以及执行等级的改变等信息。

3.linux下的主要日志文件

1. 进程日志(acct/pacct: 记录用户命令)2. 错误日志(/var/log/messages:系统级信息；access-log:记录HTTP/WEB的信息)3. 连接日志(/var/log/wtmp,/var/log/btmp,/var/run/utmp)>>>有关当前登录用户的信息记录在文件utmp中;>>>登录进入和退出纪录在文件wtmp中;>>>最后一次登录文件可以用lastlog命令察看;>>>数据交换、关机和重起也记录在wtmp文件中;

好的，讲完last与lastb的用法后，我们思考一个问题：既然可以有w -f，last,

lastb等命令查看登录成功的记录，那么自然进入者方面也可以通过一些手段来清除这些记录。

1，清除登录成功的信息

[root@localhost root]# echo > /var/log/wtmp //此文件默认打开时乱码，可查到ip等信息[root@localhost root]# last //此时即查不到用户登录信息

2，清除登录失败的信息

[root@localhost root]# echo > /var/log/btmp //此文件默认打开时乱码，可查到登陆失败信息[root@localhost root]# lastb //查不到登陆失败信息

3，清除历史执行的命令

[root@localhost root]# history -c //清空历史执行命令[root@localhost root]# echo > ~/.bash_history //或清空用户目录下的这个记录历史命令的文件即可

4，导入空的历史命令文件

[root@localhost root]# vi /root/history //新建记录文件[root@localhost root]# history -c //清除记录 [root@localhost root]# history -r /root/history.txt //导入记录 [root@localhost root]# history //查询导入结果

总结：服务器安全方面也是运维的重中之重，希望看完对大家有所收获，在受到攻击时，可以通过last,lastb这样的命令快速响应，找到攻击源头做出决断。