列出登入系统失败的用户相关信息(可以看暴力破解次数)
[root@javaServer ~]# lastb
root ssh:notty 192.168.1.216 Tue Dec 4 09:01 - 09:01 (00:00)
root ssh:notty 192.168.1.216 Tue Dec 4 09:00 - 09:00 (00:00)
root ssh:notty 192.168.1.216 Tue Dec 4 09:00 - 09:00 (00:00)
root ssh:notty 192.168.1.216 Tue Dec 4 08:59 - 08:59 (00:00)
root ssh:notty 192.168.1.216 Tue Dec 4 08:58 - 08:58 (00:00)
root ssh:notty 192.168.1.216 Mon Dec 3 14:52 - 14:52 (00:00)
root ssh:notty 192.168.1.46 Mon Dec 3 11:35 - 11:35 (00:00)
btmp begins Mon Dec 3 11:35:47 2018
显示谁在登录和他们在做神马
[root@iZ28d4k95vxZ ~]# w
10:01:47 up 271 days, 18:32, 3 users, load average: 0.24, 0.17, 0.16
USER TTY LOGIN@ IDLE JCPU PCPU WHAT
root pts/0 08:08 1:52m 0.05s 0.05s -bash
root pts/1 08:20 1:22m 29.82s 0.10s -bash
root pts/2 09:35 3.00s 0.09s 0.09s -bash
显示谁在登录
[root@iZ28d4k95vxZ ~]# who
root pts/0 2016-10-11 08:08 (42.122.143.49)
root pts/1 2016-10-11 08:20 (42.122.143.49)
root pts/2 2016-10-11 09:35 (42.122.143.49)
显示已登录用户数
[root@iZ28d4k95vxZ ~]# who -q
root root root
# users=3
显示已登录用户详细信息
[root@localhost ~]# who -a
system boot 2016-10-08 11:15
run-level 3 2016-10-08 11:15
LOGIN tty1 2016-10-08 11:15 2770 id=tty1
root + pts/0 2016-10-19 16:58 . 19195 (192.168.1.216)
pts/1 2016-10-11 18:34 30640 id=ts/1 term=0 exit=0
查询所有登录过的用户登录日志,一般信息太多
[root@localhost ~]# last
root pts/0 192.168.1.216 Wed Oct 19 16:58 still logged in
root pts/0 192.168.1.211 Mon Oct 17 10:59 - 11:29 (00:29)
root pts/0 192.168.1.217 Fri Oct 14 09:04 - 10:59 (01:55)
只查询root用户登录日志
[root@localhost ~]# last root
root pts/0 192.168.1.216 Wed Oct 19 16:58 still logged in
root pts/0 192.168.1.211 Mon Oct 17 10:59 - 11:29 (00:29)
root pts/0 192.168.1.217 Fri Oct 14 09:04 - 10:59 (01:55)
root pts/1 192.168.1.217 Tue Oct 11 15:30 - 18:34 (03:04)
踢出已登录用户
首先使用w命令得到用户登录终端,如 pts/1
然后有两种方法:
方法1 [推荐]
pkill -KILL -t pts/0
方法2
[root@localhost ~]# ps aux|grep pts/1
root 19516 0.0 0.1 141272 5392 ? Ss 17:18 0:00 sshd: root@pts/1
root 19518 0.0 0.0 115516 2088 pts/1 Ss+ 17:18 0:00 -bash
root 19582 0.0 0.0 112648 972 pts/0 R+ 17:20 0:00 grep --color=auto pts/1
[root@localhost ~]# kill -9 19516
现在在运行的进程是啥
pstree -a
ps aux
top -c 再加[P|M] 按cpu/内存排序
监听网络服务
netstat -ltpe #监听tpc 协议 [常用,能显示 PID,用户名,进程名]
netstat -ntlp # 不显示 用户名,进程名
netstat -nulp #监听udp 协议
netstat -nxlp #监听unix 套接字
由端口得到PID,由PID得到进程
可以使用netstat命令一步到位全部显示
[root@localhost ~]# netstat -ltpe
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State User Inode PID/Program name
tcp 0 0 0.0.0.0:mysql 0.0.0.0:* LISTEN mysql 18505 1811/mysqld
tcp 0 0 0.0.0.0:6379 0.0.0.0:* LISTEN redis 600584 7423/redis-server *
tcp 0 0 0.0.0.0:http 0.0.0.0:* LISTEN root 17051 1459/nginx: master
tcp 0 0 0.0.0.0:ssh 0.0.0.0:* LISTEN root 16448 1252/sshd
也可以借用lsof分两步显示
[root@iZ28d4k95vxZ ~]# netstat -tnlp [p参数显示PID]
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN 1811/mysqld
[root@iZ28d4k95vxZ ~]# lsof -p 1811 [由PID得到进程名]
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
ss5 4163 nobody mem REG 202,1 56563 161856 /usr/lib/ss5/mod_dump.so
ss5 4163 nobody mem REG 202,1 55950 161855 /usr/lib/ss5/mod_bandwidth.so
其它
tail /var/log/messages 记录Linux内核消息及各种应用程序的公共日志信息,包括启动、IO错误、网络错误、程序故障等
tail /var/log/secure 记录用户登录认证过程中的事件信息
lastlog 最近几次成功登录事件和最后一次不成功登录事件
iostat -x -m 3 #以M为单位显示,隔3秒刷新一次
iftop 列出用户服务器与远程IP之间占用带宽最多的连接对象
/usr/local/nload/bin/nload 网络流量实时监控