linux的lastb命令

lastb命令是Linux系统中的一个日志审计工具，用于显示登录失败的记录。下面是关于lastb命令的详细介绍。

lastb命令用于查看/var/log/btmp文件中记录的失败登录尝试。该命令会显示登录失败的用户账号、登录IP地址、登录时间以及登录尝试的结果。

使用lastb命令需要root权限或者具有读取/var/log/btmp文件的权限。以下是一些常用的lastb命令选项：

1. -a：显示IP地址而非主机名；
2. -i：以CIDR（Classless Inter-Domain Routing）格式显示IP地址；
3. -F：忽略从/var/log/wtmp文件中获取成功登录记录；
4. -R：以逆序显示记录；
5. -w：显示完整的登录失败记录。

lastb命令的输出结果包括以下几个字段：
1. 用户账号：记录尝试登录的用户账号；
2. 终端：登录尝试所使用的终端设备；
3. 来源IP地址：登录尝试的IP地址；
4. 日期和时间：登录尝试发生的日期和时间；
5. 结果：登录尝试的结果，通常是”failed”。

通过使用lastb命令，系统管理员可以及时得知系统遭受到的登录尝试并对相关安全事件进行排查和处理。同时，可以根据登录失败的记录对系统密码策略进行优化，增强系统的安全性。

总之，lastb命令是一款用于查看登录失败记录的实用工具，能够帮助系统管理员监控系统安全并及时采取措施保护系统资源。

Linux的lastb命令用于显示登录失败的用户列表和相关的信息。它查询并显示的是一个位于/var/log/btmp文件中的内容。

下面是关于lastb命令的一些重要点：

1. 命令语法

lastb [选项] [用户名]

选项包括:

-b：指定要读取的文件，默认为/var/log/btmp；

-f：指定要读取的文件，默认为/var/log/btmp；

-R FILE：指定一个规则文件，只显示符合规则的结果；

-w：仅显示登录失败的用户，不包括成功登录的用户；

-x：显示更详细的信息，包括终端、登录源IP地址等；

-i：显示IP地址而不是主机名；

-s：以用户名的字母排序。

2. 查询登录失败用户

使用lastb命令可以方便地查看和分析登录失败的用户，以及他们的登录来源。该命令输出的信息包括登录用户名、登录源IP地址、登录终端、登录时间、登录失败次数等。

3. 查询登录失败次数

lastb命令还可以显示每个用户的登录失败次数。可以通过查看每个用户的登录失败次数来评估系统的安全性，并采取相应的措施来加强系统的安全性。

4. 分析登录失败日志

可以使用lastb命令的输出结果来分析系统的登录失败情况，例如检查是否有恶意的登录尝试、是否有用户遗忘密码等情况。根据这些信息，可以采取相应的安全措施来保护系统的安全。

5. 清除登录失败日志

lastb命令执行后，会将已经读取的日志记录从/var/log/btmp中删除。如果想要清除所有的登录失败日志，可以直接删除/var/log/btmp文件，然后使用touch命令创建一个新的、空的btmp文件。

总结起来，lastb命令是Linux系统中用于查询和分析登录失败用户的命令。它可以显示用户的登录失败次数和相关信息，帮助管理员评估系统的安全性并采取相应的措施。通过分析登录失败日志，可以及时发现异常登录行为，保障系统的安全。

lastb命令是Linux系统中的一个日志命令，用于查看当前登录失败的记录。它能够显示登录失败的用户ID、登录IP地址、登录时间、失败次数以及登录失败的原因等信息。

下面是关于lastb命令的详细介绍和使用方法。

## 1. 命令格式

lastb [选项] [文件…]

## 2. 命令选项

lastb命令的常用选项如下：

– -f file: 指定要读取的日志文件，默认为/var/log/btmp。
– -n num: 显示指定数量的记录，num为整数，默认显示全部记录。
– -t YYYYMMDDHHMMSS: 显示指定时间之后的记录。
– -w: 显示IP地址而不是主机名。
– -R: 显示登录失败记录的原因。

## 3. 使用示例

### 示例1：查看最近登录失败的记录

命令：lastb

输出：

“`
root ssh:notty 192.168.1.10 Fri Jan 1 10:54:22 2023 – Thu Jan 7 09:18:24 2023 (5 + 06:24)
guest ssh:notty 192.168.1.20 Sun Jan 2 15:42:33 2023 – Sun Jan 2 15:42:36 2023 (00:00)
“`

示例说明：显示了最近的登录失败记录。其中，root用户在2023年1月1日尝试登录IP地址为192.168.1.10的主机，登录失败时间为2023年1月1日10点54分22秒至2023年1月7日9点18分24秒，共尝试了5次登录；guest用户在2023年1月2日尝试登录IP地址为192.168.1.20的主机，登录失败时间为2023年1月2日15点42分33秒至2023年1月2日15点42分36秒，只尝试了1次登录。

### 示例2：指定显示的记录数量

命令：lastb -n 3

输出：

“`
root ssh:notty 192.168.1.10 Fri Jan 1 10:54:22 2023 – Thu Jan 7 09:18:24 2023 (5 + 06:24)
guest ssh:notty 192.168.1.20 Sun Jan 2 15:42:33 2023 – Sun Jan 2 15:42:36 2023 (00:00)
test ssh:notty 192.168.1.30 Mon Jan 3 18:20:42 2023 – Mon Jan 3 18:20:45 2023 (00:00)
“`

示例说明：指定显示3条记录。

### 示例3：指定时间范围显示记录

命令：lastb -t 20230101230000

输出：

“`
root ssh:notty 192.168.1.10 Fri Jan 1 10:54:22 2023 – Thu Jan 7 09:18:24 2023 (5 + 06:24)
guest ssh:notty 192.168.1.20 Sun Jan 2 15:42:33 2023 – Sun Jan 2 15:42:36 2023 (00:00)
“`

示例说明：只显示2023年1月1日23点00分00秒之后的记录。

### 示例4：显示IP地址而不是主机名

命令：lastb -w

输出：

“`
root ssh:notty 192.168.1.10 Fri Jan 1 10:54:22 2023 – Thu Jan 7 09:18:24 2023 (5 + 06:24)
guest ssh:notty 192.168.1.20 Sun Jan 2 15:42:33 2023 – Sun Jan 2 15:42:36 2023 (00:00)
“`

示例说明：显示登录失败记录时，将IP地址显示出来，而不是主机名。

### 示例5：显示登录失败记录的原因

命令：lastb -R

输出：

“`
root ssh:notty 192.168.1.10 Fri Jan 1 10:54:22 2023 – Thu Jan 7 09:18:24 2023 (5 + 06:24)
ssh:notty 192.168.1.10 Fri Jan 1 10:54:22 2023 – Thu Jan 7 09:18:24 2023 (5 + 06:24)
guest ssh:notty 192.168.1.20 Sun Jan 2 15:42:33 2023 – Sun Jan 2 15:42:36 2023 (00:00)
“`

示例说明：显示登录失败记录时，同时显示登录失败的原因。