一、用户登录日志文件
/var/log/ 记录了全部服务的登陆的文件或错误信息文件 ,其中lastlog、secure、wtmp、lastlog四个文件存储了用户相关登录日志
/var/run/文件夹中存放了自系统启动以来描述系统信息的文件,其中utmp文件中存储了用户相关登录信息
1 /var/log/secure
安全和身份日志,记录用户和工作组变化情况、用户登陆认证情况 ,可以查看ssh登录的情况 。
- 使用
cat命令查看
2 /var/log/lastlog
记录用户最后一次成功登陆的时间、登陆IP等信息
-
二进制文件,使用
cat命令查看出现乱码
-
使用
lastlog命令查看,root为管理员用户,admin为普通用户,其他为系统用户,系统用户没有权限登录,所以显示为never logged in
3 /var/log/btmp
记录失败的登录尝试信息,默认由**lastb**命令查看。
-
二进制文件,使用
cat命令查看会出现乱码
-
使用
lastb命令查看该文件
4 /var/log/wtmp
记录登陆过系统的所有用户信息,使用last命令可以查看
-
二进制文件,使用
cat命令查看会出现乱码
-
使用
last命令查看
5 /var/run/utmp
记录当前登录系统的用户信息,默认由who和w记录当前登录用户的信息,uptime记录系统启动时间
-
二进制文件,使用
cat命令查看会出现乱码
-
使用
who命令可以查看当前正在登录的用户
-
使用
w命令查看
二、用户相关的其他文件
1 /etc/passwd
/etc/passwd存储了创建的所有用户的信息,新建的用户通常存在文件的最后一行,可以通过查看passwd文件查看新增的用户信息
2 /etc/shadow
/etc/shadow文件记录了所有用户的密码信息,该文件只有管理员用户有权限查看
