利用用户的登录审计,可以查看到有那些用户远程登录过服务器,在一定程度上保证了服务器的安全。
在实验中,我们在真机上上打开两个shell窗口,ctrl+shift+t可以开启两个并列的shell窗口
1.分别远程登录两个虚拟机[email protected]和[email protected]
[kiosk@foundation60 Desktop]$ ssh [email protected]
[email protected]'s password:
Last login: Sun Oct 14 22:49:57 2018[kiosk@foundation60 Desktop]$ ssh [email protected]
[email protected]'s password:
Last login: Sun Oct 14 22:49:57 20182.将172.25.254.122这个虚拟机的 主机名改为node1,将172.25.255.222这个虚拟机的主机名改为node2
[root@localhost ~]# hostnamectl set-hostname node1.example.com
[root@localhost ~]# exit
logout
Connection to 172.25.254.122 closed.[root@localhost ~]# hostnamectl set-hostname node2.example.com
[root@localhost ~]# exit
logout
Connection to 172.25.254.222 closed.注意:
执行hostnamectl命令后,要先退出远程登录,重新登录后虚拟机主机名改变。
3.用户的登陆审计命令
(1)查看正在登录当前当前服务器的用户信息
w(2)查看登录用户的来源信息
w -f注意:
在远程登录的那台服务器配置/etc/hosts文件,将登录这台服务器的主机的ip设定一个名称,重启,来源会更改为给定的来源名称
实验1:在172.25.254.122这台虚拟机上将172.25.254.222这台虚拟的来源名称设定为“nihao”,重启。当172.25.254.222这台虚拟机远程登录172.25.254.122这台虚拟机时,用"w -f"命令查看来源时,172.25.254.222的来源就会变成"nihao".
(3) 查看正在登录的用户的ip信息(这些信息记录在/var/run/utmp文件中)
w -i(4)查看登录过并退出的用户信信息(这些信息记录在 /var/log/wtmp文件中)
last(5)查看试图登陆但没有登陆成功的用户(这些信息记录在 /var/log/btmp文件中)
lastb实验2:
1.清除/var/run/utmp,/var/log/wtmp,/var/log/btmp文件中内容
> /var/run/utmp
> /var/log/wtmp
> /var/log/btmp此时,执行"w -i " ,"last " , “lastb” 命令的输出结果均为如下:
2.用172.25.254.222虚拟机远程登录172.25.254.122虚拟机,由于密码输入错误两次导致登录失败两次,密码输入正确一次,实现远程登录,退出,再完成一次远程登录。
w -i 显示登录信息
llast 命令显示登录过这台主机的信息,若正在登录,则显示“still logged in” 
