你的服务器被谁动过?一招教你快速锁定异常登录:用last liux轻松搞定系统登录记录
当可疑登录发生时,我们该怎么办?
嘿朋友们,今天要跟你聊聊服务器管理中最让人头皮发麻的事:某天检查日志时突然发现一堆半夜两点的异常登录记录。上周我就遇到这糟心事,客户服务器莫名其妙出现境外IP登录,团队排查三小时没头绪。这时候老李一句"用last liux查查看"直接锁定问题账号——这就是今天要分享的系统审计神器!
在日常运维中,
用户登录记录监控绝对是安全防御的第一道门槛。无论你是管理云服务器还是公司内网主机,last命令都能让你像侦探一样看清所有访问痕迹。特别是做好
登录历史检查,能帮你快速发现入侵行为,比杀毒软件报警还快一步。
last liux命令的神奇妙用
这个看似简单的命令行工具,其实是Linux系统自带的
登录历史检查利器。直接在终端输入:
last
系统立即返回如水晶般清晰的
用户登录记录报表:
| 用户名 | 终端类型 | 登录IP | 起止时间 | 持续时间 |
|---|
| root | pts/0 | 192.168.1.101 | Mon 10:00 - 12:30 | (02:30) |
| backup | tty1 | - | Sun 23:15 - 03:22 | (04:07) |
上周处理勒索病毒事件时,正是通过对比正常和攻击时间段的
登录失败记录,发现黑客连续尝试了50多次root爆破。这里划重点:
一定要用last命令查看/var/log/btmp,这里记录了所有失败登录尝试!
最实用的5个过滤技巧
- 追踪特定用户:last -u mysql 查看数据库账户活动
- 排查时间段:last --since 2023-07-01 --until 2023-07-05
- 定位异常IP:last | grep 103.125.63 发现境外访问
- 检查空密码登录:last -f /var/log/btmp | grep "password"
- 统计登录次数:last | awk '{print $1}' | sort | uniq -c
记得去年做
服务器安全审计时,用第四招挖出某外包人员用空密码连生产环境,吓得客户当晚就整改了认证机制。完善的
登录历史检查真能救命!
Windows系统的强强联合
虽然last是Linux神器,但在混合环境下,
Windows的事件查看器也能帮大忙。当我们需要完整追溯用户行为时:
- 在Windows服务器按Win+R输入eventvwr.msc
- 展开"Windows日志 → 安全"
- 筛选事件ID:4624(成功登录)/4625(失败登录)
上周处理跨国企业迁移项目时,我们就在AWS Linux服务器用last抓
用户登录记录,同时在AD域控的Windows系统查登录源,双管齐下发现纽约办公室的异常账号。这种跨平台协作在
服务器安全审计中特别高效!
避坑指南:90%人忽略的细节
- 日志轮转陷阱:last默认只读/var/log/wtmp,用last -f /var/log/wtmp.1查历史
- 时区混淆:突然看到UTC时区的凌晨登录?用sudo timedatectl设置正确时区
- SSH隧道干扰:跳板机登录会显示中转IP,用last -d看真实客户端IP
- 记录被清空:定期用accton保护日志,防止黑客rm -rf /var/log/*
去年某次渗透测试中,黑客专门删除了
登录失败记录来掩盖痕迹。建议配置logrotate时添加:
create 0644 root utmp
这样即使日志被删,新生成的wtmp文件依然保持正确权限。
安全审计的最佳实践
养成这三个习惯,让你的
登录历史检查事半功倍:
1.
每日快查:早晨用last | head -20快速浏览昨夜登录
2.
周期深度检查:每周last --since "1 week ago"完整审计
3.
告警联动:通过lastb命令监控失败日志,设置Zabbix告警阈值
特别在金融行业做
服务器安全审计时,我会配合用awk生成带风险评分的报表:
last | awk '{if($3~/^[0-9]/) print "外部IP:"$3; else print "本地登录:"$1}'总结:构筑安全防线的最后拼图
通过本文的last liux技巧,你已掌握:
- 快速定位异常的
用户登录记录分析方法
- 深度排查高危的
登录失败记录技术细节
- 构建完整的
登录历史检查工作流
记住,所有黑客攻击都会留下
登录记录痕迹。下次遇到可疑活动时,别急着重启服务器,先静下心来用last做个全面
登录历史检查,真相往往就在那几行命令结果里。毕竟在安全领域,看得清才能防得住!
