/var/log/btmp
,命令默认读取的日志lastb
,存储有关失败登录尝试的信息。我正在查看文件的片段,并查看我所理解的登录时间的分钟数:
[#]> last -f /var/log/btmp.1 -10
test ssh:notty 210.212.249.228 Tue Oct 1 06:04 gone - no logout
current ssh:notty 115.133.236.49 Tue Oct 1 05:59 - 06:04 (00:05)
dudley ssh:notty host208.sub-63-4 Tue Oct 1 05:48 - 05:59 (00:10)
www ssh:notty net-5-88-155-130 Tue Oct 1 05:13 - 05:48 (00:34)
admin ssh:notty h106.205.186.173 Tue Oct 1 04:38 - 05:13 (00:35)
postmast ssh:notty 138.197.72.48 Tue Oct 1 04:27 - 04:38 (00:11)
ethos ssh:notty 45.55.157.147 Tue Oct 1 03:53 - 04:27 (00:33)
usuario ssh:notty v133-130-107-88. Tue Oct 1 03:35 - 03:53 (00:17)
ftp ssh:notty 36.66.156.125 Tue Oct 1 03:23 - 03:35 (00:12)
oracle5 ssh:notty 112.140.185.64 Tue Oct 1 03:02 - 03:23 (00:20)
如果此日志仅包含失败的登录,那么用户如何能登录几分钟呢?
答案1
有lastb
登录失败具体来说除了last
.
以下是同一系统上显示的它们之间的差异:
last
:
% sudo last -f /var/log/btmp -F games
games ssh:notty ::1 Tue Nov 12 00:02:08 2019 - Tue Nov 12 00:10:02 2019 (00:07)
games ssh:notty ::1 Tue Nov 12 00:01:58 2019 - Tue Nov 12 00:02:08 2019 (00:00)
lastb
:
% sudo lastb -F games
games ssh:notty ::1 Tue Nov 12 00:02:08 2019 - Tue Nov 12 00:02:08 2019 (00:00)
games ssh:notty ::1 Tue Nov 12 00:01:58 2019 - Tue Nov 12 00:01:58 2019 (00:00)
last
您可能已经注意到,在您自己的示例中,有些东西并没有真正发挥作用-last
告诉您最后一个用户没有注销:“消失 - 没有注销”。另一个需要注意的奇怪的事情是注销和登录时间的链接:oracle5
显示为注销时间03:23
,03:23
是登录的时间戳ftp
。
所以简短的回答是: last
不是为了处理失败的登录而设计的。代替使用lastb
。