服务器作为网站和应用程序的核心载体,其安全性与稳定性直接影响业务运行,实时监控登录用户是每位管理员的基础工作,也是防御入侵的第一道防线,以下提供五种专业级方法,帮助您快速掌握服务器登录动态。
1、who 命令
输入who 或w 可获取当前活跃会话,系统将返回:
root pts/0 2023-12-01 14:30 (203.0.113.25) ubuntu pts/1 2023-12-01 15:12 (198.51.100.34)
输出包含用户名、终端类型、登录时间及来源IP,建议每小时检查一次
2、last 命令溯源
执行last -i -n 10 显示最近10条登录记录,带IP地址的详细历史:
admin pts/2 192.168.1.105 Mon Dec 4 09:23 - 11:45 (02:22)
1、安全日志路径
- Linux系统:/var/log/auth.log
- CentOS:/var/log/secure
使用grep 'Accepted password' /var/log/auth.log 过滤成功登录事件
2、SSH登录监控脚本
创建实时监控脚本:
#!/bin/bash tail -f /var/log/auth.log | grep --line-buffered "Accepted" | while read line do echo "[警报] 检测到登录:$line" | mail -s "服务器登录提醒" admin@example.com done
1、OSSEC 入侵检测系统
配置规则自动触发邮件告警:
<rule id="5716" level="7"> <match>Accepted password for</match> <description>用户登录成功</description> </rule>
2、Prometheus + Grafana 可视化
通过 node_exporter 采集登录数据,生成实时在线用户仪表盘,异常时段自动标红
1、启用双因素认证:安装 Google Authenticator PAM 模块
2、修改默认SSH端口:Port 59228(示例端口)
3、密钥登录替代密码:ssh-keygen -t ed25519
4、安装防御工具:Fail2Ban 自动封锁暴力破解IP
当检测到非常规时段(如凌晨3点)的root账户登录,或同一IP在2分钟内尝试20次连接,应立即断开会话并启动安全审计,建议每周生成《用户登录行为分析报告》,包含高频IP区域、异常登录时段统计等核心指标,服务器安全不是一次性任务,而是持续优化的过程。(作者系十年网络安全工程师,持有CISSP认证)
文章摘自:https://idc.huochengrm.cn/fwq/7372.html
评论
战梦槐
回复在服务器上,使用`who`或`w`命令即可查看当前登录用户。