Alex Ruben
如何在 Linux 和 Ubuntu 上查看登入記錄
如果你正在運行 Ubuntu,你可能會覺得日誌並不總是直觀地顯示所有內容,這有點奇怪。有時,你需要深入研究終端並進行一些手動操作。也許你想查看是否有人在你離開時登入過,或者只是好奇最近的訪問記錄。無論出於何種原因,本指南都匯總了所有常用命令和技巧,以便你查看登入歷史記錄(包括成功登入和失敗嘗試),從而更清楚地了解哪些人使用過你的系統。你需要熟悉last、lastb,甚至一些 sudo 技巧,才能真正了解發生了什麼。需要注意的是,本指南並非總是完美無缺的——有時日誌會被清除或輪換——但它涵蓋了大多數典型情況。
如何修復或檢查 Ubuntu 上的登入記錄
檢查登入日誌是否可用以及如何查看成功登入
首先,你想查看最近成功的登入記錄。這個簡單的指令last通常就能解決問題──它在 Linux 中已經存在很久了。它會從/var/log/wtmp中提取數據,但有時如果日誌被輪換或清除,你可能看不到所有資訊。你可以使用 VPN 連接到終端機 ( Ctrl+ Alt+ T),然後輸入:
last
它會列出最近的登入訊息,包括使用者名稱、登入時間以及每次登入的時間長度。請注意“reboot”條目——它們只是表示你的系統重啟了,所以這是正常的。它的好處是可以讓你快速地了解系統狀況,而無需費力。如果你注意到一些奇怪的用戶名或奇怪的登入時間,那麼可能需要深入研究一下。
如何查看失敗的登入嘗試(當然,有些駭客會嘗試)
現在,要查看失敗的登入嘗試,就有點棘手了。 Ubuntu 不會顯示失敗的登入嘗試last,但該指令lastb會顯示-如果你有正確的權限的話。它會從/var/log/btmp讀取。如果它沒有立即生效,你可能需要管理員權限,所以只需在前面加上sudo即可:
sudo lastb
這將輸出失敗嘗試的清單——也許你會看到多次嘗試,這不是什麼好消息,但至少你得到了通知。請記住,有時日誌會被輪換或未啟用審計功能,所以不要指望這裡有一個萬無一失的系統。
處理權限 — 因為 Linux 有時會讓你為此付出努力
如果運行時權限被拒絕lastb,只需新增sudo即可。 Linux 正是透過這種方式來保護日誌不被竄改。輸入sudo lastb密碼後,它會顯示失敗的登入資訊。在某些設定下,如果未啟用記錄失敗登入嘗試或日誌已清除,此命令可能不會顯示任何內容,但值得一試。
當長日誌充斥螢幕時如何退出
如果您在瀏覽時發現輸出很長(有點煩人),可以按 退出Q。這是分頁器的常見行為。有時日誌會很長,尤其是在您有一段時間沒有清理日誌的情況下,因此如果您要查找特定內容,請考慮重定向或過濾。
額外的提示和容易讓人犯難的常見問題
請記住,日誌取決於您的系統配置。如果您找不到所需的信息,請檢查rsyslog或systemd-journald等日誌服務是否正常運作。此外,日誌可能會在一段時間後輪換或過期——因此最近的活動通常沒有問題,但較舊的資訊可能會遺失。如果您比較謹慎,可以考慮設定更進階的日誌記錄功能(例如 Fail2Ban 或 auditd),以追蹤所有內容。
另一個奇怪的現像是-有時在運行last或lastb全新安裝的系統時,除非日誌仍然完整,否則幾乎什麼都顯示不出來。如果手動清除了日誌或在系統清理過程中清除了日誌,也會發生相同的情況。這只是需要注意的一點,因為 Windows 必須把事情弄得比必要的更難,對吧?
包起來
在 Ubuntu 中監視登入歷史記錄並不複雜,但並非無縫銜接——這取決於日誌的管理方式。大多數情況下,last這sudo lastb都是最好的選擇。定期監控,如果發現任何可疑之處,請更改密碼或加強安全措施。這是預防潛在問題的好方法。一段時間後,您就能掌握哪些日誌代表什麼,並能更快發現異常活動。
概括
- 用於
last最近成功登入 - 用於
sudo lastb登入嘗試失敗 - 檢查日誌是否已啟用且未輪換
- 請記住,日誌可以被清除或限制,所以不要 100% 依賴它們
- 如果擔心安全問題,請定期監控日誌
結論
要掌握誰登入了你的 Ubuntu 系統並不是什麼難事,但如果日誌不完整或不夠詳細,有時會令人沮喪。不過,這些命令涵蓋了大多數常見情況。如果你懷疑有人試圖登錄,請密切注意日誌,並且不要忘記保持系統更新和安全性——因為 Linux 系統本身就比實際需要的複雜一些。希望這些指令能幫你省去幾個小時的猜測和摸索時間。