1. 查看系统用户登陆情况主要有以下命令
who
lastlog
last
1. who 显示当前已登录的用户信息 选项和参数 -a, --all 等于-b -d --login -p -r -t -T -u 选项的组合 -b, --boot 上次系统启动时间 -d, --dead 显示已死的进程 -H, --heading 输出头部的标题列 -l,--login 显示系统登录进程 --lookup 尝试通过 DNS 查验主机名 -m 只面对和标准输入有直接交互的主机和用户 -p, --process 显示由 init 进程衍生的活动进程 -q, --count 列出所有已登录用户的登录名与用户数量 -r, --runlevel 显示当前的运行级别 -s, --short 只显示名称、线路和时间(默认) -T, -w, --mesg 用+,- 或 ? 标注用户消息状态 -u, --users 列出已登录的用户 --message 等于-T --writable 等于-T --help 显示此帮助信息并退出 --version 显示版本信息并退出 2. lastlog 报告所有用户或给定用户的最新登录信息 -b, --before DAYS print only lastlog records older than DAYS -h, --help display this help message and exit -t, --time DAYS print only lastlog records more recent than DAYS -u, --user LOGIN print lastlog record of the specified LOGIN 3. last 显示历史系统用户登陆列表
2. 简单例子
当发现系统异常,有用户异常登陆时,通过who -u查出异常用户并杀死异常用户会话
# 查看系统当前用户登陆情况 who -u # 杀死异常用户登陆(2028为进程id号) kill -s 9 2028