linux服务器如何检查远程用户登陆状态、时间、ip地址等信息

linux服务器如何检查远程用户登陆状态、时间、ip地址等信息
分类： linux 2012-08-11 13:14 2547人阅读 评论(0) 收藏 举报
服务器linuxsessionshellcentosunix
问题：因为某项目组在同一个服务器上都是用的同一个登录名和密码，所以项目管理上无法做到具体谁对服务器进行了某些操作，现在的需求是能具体到某个研发人员在这个服务器上的操作。公司用的内网，IP地址是动态的，也无法从IP地址确定到某个人。所以能否在研发人员登录服务器时，服务器根据登录者的IP地址直接获取到他电脑的名字，这样就可以跟踪到具体的某个人了。

答：先查看有谁登陆，在查看他的MAC信息

[root@ftp local]# who

root pts/1 2011-11-09 13:49 (192.168.101.122)

root pts/2 2011-11-09 13:49 (192.168.101.122)

[root@ftp local]# arp 192.168.101.122Address HWtype HWaddress Flags Mask Iface

localhost.168.192.in-ad ether 00:22:71:dc:2e:0b C eth0

能看到MAC地址，有了MAC地址就知道是谁了

一、cat /var/log/secure

远程用SSH登陆redhat 、centos 服务器，连接记录日志都在/var/log/secure 中，可以在其中查看

COMMAND=/bin/ln -s /etc/issue /etc/https://www.sodocs.net/doc/4b5559792.html,
Apr 16 12:51:23 localhost sshd[6217]: Accepted password for lss from 192.168.0.131 port 3786 ssh2
Apr 16 12:51:23 localhost sshd[6217]: pam_unix(sshd:session): session opened for user lss by (uid=0)
Apr 16 12:57:55 localhost sshd[6217]: pam_unix(sshd:session): session closed for user lss

==============================

二、finger

finger指令会去查找，并显示指定帐号的用户相关信息，包括本地与远端主机的用户皆可，帐号名称没有大小写的差别。单独执行finger指令，它会显示本地主机现在所有的用户的登陆信息，包括帐号名称，真实姓名，登入终端机，闲置时间，登入时间以及地址和电话。

-l 列出该用户的帐号名称，真实姓名，用户专属目录，登入所用的Shell，登入时间，转信地址，电子邮件状态，还有计划文件和方案文件内容。

-m 排除查找用户的真实姓名。

-s 列出该用户的帐号名称，真实姓名，登入终端机，闲置时间，登入时间以及地址和电话。

-p 列出该用户的帐号名称，真实姓名，用户专属目录，登入所用的Shell，登入时间，转信地址，电子邮件状态，但不显示该用户的计划文件和方案文件内容。

[root@localhost ~0m]# finger -l
Login: lss Name:lss@psbc
Directory: /home/lss Shell: /bin/bash
On since Sat Apr 16 12:41 (EDT) on pts/0 from 192.168.0.65
15 minutes 41 seconds idle
On since Sat Apr 16 10:31 (EDT) on pts/3 from 192.168.0.131
Last login Sat Apr 16 12:51 (EDT) on pts/1 fr

om 192.168.0.131
No mail.
No Plan.

===================================

三、lastlog

lastlog文件在每次有用户登录时被查询。可以使用lastlog命令检查某特定用户上次登录的时间，并格式化输出上次登录日志/var/log/lastlog的内容
lastlog文件在每次有用户登录时被查询。可以使用lastlog命令检查某特定用户上次登录的时间，并格式化输出上次登录日志/var/log/lastlog的内容。它根据UID排序显示登录名、端口号(tty)和上次登录时间。如果一个用户从未登录过，lastlog显示**Never logged**。注意需要以root身份运行该命令，例如：

rong 5 202.38.64.187 Fri Aug 18 15:57:01 +0800 2000

dbb **Never logged in**

xinchen **Never logged in**

pb9511 **Never logged in**

xchen 0 202.38.64.190 Sun Aug 13 10:01:22 +0800 2000

另外，可加一些参数，例如，"last -u 102"命令将报告UID为102的用户;"last -t 7"命令表示限制为上一周的报告。

====================================

四、more /var/log/secure who /var/log/wtmp

查看linux下的用户登录日志，包括用户登录时所用的主机的ip

切换到username下输入
history
能看到这个用户历史命令，默认最近的1000条