昨天我运行了这个w命令。正常情况下,输出如下:
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root pts/0 p4...2f50.dip0.t..... 21:01 4.00s 0.05s 0.00s w
这是我用来测试一些项目的私人测试服务器。只有我一个人在使用它,所以我也应该是唯一登录它的人。但是,它显示了以下内容:
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root pts/0 p4...2f50.dip0.t 21:01 4.00s 0.05s 0.00s w
root ... p4...2f50.S:0 (8 days ago) ... ... ... /bin/bash
我添加了“...”,因为我记不住这些值,而且遗憾的是忘了截图。
重要的是,似乎有第二个人登录了很长时间。我还注意到“FROM”的值非常相似。它以完全相同的数字和字母序列开头,以.S:0或结尾:S.0(我也记不清了)。
现在,我不太了解这些值的含义。真的有其他人登录了吗?或者可能是我没能正确关闭“有问题的”SSH 会话?
答案1
以 结尾的 TTY:S.0通常由 创建screen。最有可能的情况是:没有人登录该 shell,您只是忘记了它,连接已关闭,shell 仍处于活动状态。
要跟踪您的进程是如何创建的,您可以查看ps fauxww | less,键入/ttyname以搜索您的 tty 名称,您应该找到它的父进程(可能是 bash 或 sshd)及其子进程:
root 10307 0.2 0.0 107732 4260 ? Ss 03:59 0:00 \_ sshd: root@pts/0
root 10326 1.0 0.0 23240 4372 pts/0 Ss 03:59 0:00 \_ bash
root 10361 0.0 0.0 18600 1408 pts/0 R+ 03:59 0:00 \_ ps fauxww
root 10362 0.0 0.0 9544 928 pts/0 S+ 03:59 0:00 \_ less
或者使用屏幕:
root 10326 0.1 0.0 23240 4416 pts/0 Ss 03:59 0:00 \_ bash
root 12524 0.0 0.0 26920 1116 pts/0 S+ 04:00 0:00 \_ screen
root 12525 0.0 0.0 27052 1396 ? Ss 04:00 0:00 \_ SCREEN
root 12526 0.3 0.0 23280 4464 pts/1 Ss 04:00 0:00 \_ /bin/bash