命令功能
lastb命令用于显示系统登录失败的用户列表,会从 /var/log/btmp文件中读取信息。该命令对于系统安全监控非常有用,可以帮助管理员发现异常登录尝试和潜在的安全威胁。
基本语法
lastb [选项] [用户名] [终端]常用选项
| 选项 | 说明 |
|---|---|
-a | 在最后一列显示登录的主机名或IP地址 |
-d | 将IP地址转换为主机名 |
-f <文件> | 指定要读取的日志文件,默认为 /var/log/btmp |
-i | 显示IP地址而不是主机名 |
-n <数字> | 显示指定数量的记录 |
-R | 不显示登录的主机名或IP地址 |
-x | 显示系统关机、重启以及运行等级改变的信息 |
使用示例
显示所有登录失败记录
lastb显示最近5条登录失败记录
lastb -n 5显示指定用户的登录失败记录
lastb username显示IP地址并显示最后10条记录
lastb -i -n 10从指定文件读取登录失败记录
lastb -f /var/log/btmp.1输出格式说明
输出通常包含以下列:
- 用户名:尝试登录的用户名
- 终端:登录的终端设备
- 登录IP:登录来源的IP地址
- 登录时间:登录尝试发生的时间
- 登录状态:登录失败的状态信息
注意事项
- 权限要求:普通用户可能无法读取
/var/log/btmp文件,需要使用sudo或root权限执行 - 文件轮转:系统日志会定期轮转,历史记录可能保存在
btmp.1、btmp.2.gz等文件中 - 安全监控:定期检查
lastb输出可以帮助发现暴力破解等攻击行为 - 清空记录:可以使用
> /var/log/btmp清空登录失败记录
相关命令
last:显示成功登录的用户列表lastlog:显示所有用户最近一次登录信息who:显示当前登录系统的用户信息w:显示当前登录用户及其活动信息
