记录服务器登录用户的历史命令

最新推荐文章于 2024-11-01 16:35:36 发布
转载 最新推荐文章于 2024-11-01 16:35:36 发布 · 1k 阅读 · 0
文章标签:

#服务器 #user #date

本文详细介绍了如何将特定的PS脚本内容添加至Linux系统的/etc/profile文件,包括变量定义、环境变量设置、历史命令记录等功能,并确保了脚本的正确执行和安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

PS1=" `whoami`@`hostname`:"'[$PWD]'
history
USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]
then
USER_IP=`hostname`
fi
if [ ! -d /tmp/dbasky ]
then
mkdir /tmp/dbasky
chmod 777 /tmp/dbasky
fi
if [ ! -d /tmp/dbasky/${LOGNAME} ]
then
mkdir /tmp/dbasky/${LOGNAME}
chmod 300 /tmp/dbasky/${LOGNAME}
fi
export HISTSIZE=4096
DT=`date +%Y%m%d_%H%M%S`
export HISTFILE="/tmp/dbasky/${LOGNAME}/${USER_IP} dbasky.$DT"

chmod 600 /tmp/dbasky/${LOGNAME}/*dbasky* 2>/dev/null


将以上内容增加到/etc/profile中

linux查看登录服务器的ip历史记录,通过登陆IP记录Linux所有用户登录操作日志的方法...
weixin_39648539的博客
05-02 3557
对于Linux用户操作记录一般通过命令history来查看历史记录,但是如果在由于误操作而删除了重要的数据的情况下,history命令就不会有什么作用了。那么依然要存有历史操作记录应该如何来实现呢?其实我们可以通过登陆IP地址来记录所有用户登录操作历史操作!具体操作就是在/etc/profile配置文件的末尾加入以下脚本代码来实现:复制代码代码如下:[root@server ~]# cat &...
【Windows运维系列1】查询Windows服务器登录记录和IP地址(附Shell命令
aiwo1337的博客
01-18 3352
23年12月底的时候,客户的一台在Hostease购买的Windows美国服务器客户投诉网站打不开,在登陆服务器检查问题的时候发现文件都被加密了,当时顿时头皮发麻,都23年了,居然还会中勒索病毒??!!我们可以知道如何通过查询日志获取登陆过服务器的IP地址从而作出一些安全加固的步骤。
linux登陆后脚本,Linux 用户登录操作记录脚本
weixin_42575109的博客
05-08 155
linux 用户登录系统后操作记录脚本,虽然我们可以查阅日志或者history来获取相关信息。这里我介绍一种比较直观方便的方法也能达到预期的效果,如有不足之处,望大侠们给予建议。# vi /etc/profile.d/accountlog.shhistoryLog(){logDir=/opt/accountlogdateStamp=`date +"[%F %T]"`dateDir="`date +...
linux服务器查看历史,【服务器运维】linux查看历史命令
weixin_36116366的博客
04-29 826
linux查看历史命令Linux中,bash输入的历史记录,会存在.bash_history文件中。history命令主要用于显示历史指令记录内容下达历史纪录中的指令。使用:首先打开Terminal(终端);然后输入history,敲回车;屏幕将展示1000条历史命令。推荐:【Linux视频教程】命令语法:history[n]history[-c]history[-raw]histfiles参数:...
在Linux下记录所有用户登录操作日志
evilstar2015的专栏
05-30 6299
在很多大厂中,一般会通过第三方的4A系统登录企业的服务器,登陆者所有的操作都会由4A系统采集、汇总、记录,以达到安全审计的目的。但是很多小公司并没有采购4A系统的预算,那么为了保证操作的安全性和可追溯性,一般我们可以用history命令来查看用户操作记录,但是这个命令不能记录是哪个用户登录操作的,也不能记录详细的操作时间,且不完整。所以误操作而造成重要的数据丢失,就很难查到是谁操作的。今天就来介绍一种非常简洁的方法,通过编写脚本来追溯每个用户操作记录
linux服务器查看历史,linux如何查看历史命令
weixin_31655833的博客
04-29 4087
linux如何查看历史命令发布时间:2021-04-14 09:17:15来源:亿速云阅读:101作者:小新这篇文章将为大家详细讲解有关linux如何查看历史命令,小编觉得挺实用的,因此分享给大家做个参考,希望大家阅读完这篇文章后可以有所收获。linux查看历史命令可以使用history命令,该命令可以列出所有已键入的命令用户所键入的命令都会记录在文件中,该文件保存在当前登录用户的家目录中。本文...
linux中 shell 历史命令记录功能
09-15
Linux中的shell历史命令记录功能主要是指用户在终端执行过的命令会被记录下来,并可以通过`history`命令进行查看。这些记录默认存储在用户的家目录下的隐藏文件`.bash_history`中。通过这些历史记录,我们可以方便地...
linux服务器清空MySQL的history历史记录 删除mysql操作记录
12-15
2. 立即清空里的history当前历史命令记录 代码如下:history -c当然,如果你想要当前执行的命令立即写入到history里面的话,可以执行 代码如下:history -w 否则就只能等到退出bash的时候才会写入了。因为在bash...
实用篇:linux如何查看历史命令(以前使用过的命令)
Ven%的博客
11-01 9132
在 Linux 中,你可以使用以下几种方法查看历史命令
服务器历史命令存储在哪个文件,华为存储服务器命令
weixin_39685697的博客
08-06 384
华为存储服务器命令 内容精选换一换华为云帮助中心,为用户提供产品简介、价格说明、购买指南、用户指南、API参考、最佳实践、常见问题、视频帮助等技术文档,帮助您快速上手使用华为云服务。华为云帮助中心,为用户提供产品简介、价格说明、购买指南、用户指南、API参考、最佳实践、常见问题、视频帮助等技术文档,帮助您快速上手使用华为云服务。华为存储服务器命令 相关内容超高I/O型弹性云服务器使用高性能NVMe...
linux存放用户,Linux 怎样保存用户登录操作命令记录
weixin_31653971的博客
04-29 957
Linux保存用户登录操作记录,可通过在/etc/profile最下方添加下面的信息来实现,唯一修改的地方就是LOG_DIR对应的目录位置,默认或根据您需要保存的目录修改都是可以的。添加后需要执行source /etc/profile使其生效。代码信息如下所示:LOGIP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//...
数据库被攻击linux查看入侵痕迹,CentOS系统通过日志反查是否被入侵
weixin_29717341的博客
05-03 2464
一、查看日志文件Linux查看/var/log/wtmp文件查看可疑IP登陆last -f /var/log/wtmp该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件。因此随着系统正常运行时间的增加,该文件的大小也会越来越大,增加的速度取决于系统用户登录数。该日志文件可以用来查看用户登录记录,last命令就通过访问这个文件获得这些信息,并以反序从后向前显示用户登录记录,last...
linux系统中监控用户操作记录命令
赶路人儿
09-02 4293
首先我们创建一个放操作记录的日志文件  代码如下 复制代码 touch /var/log/rootlog.txt 给这个文件相应的写权限和追加权限  代码如下 复制代码 chmod 002 /var/log/rootlog.txt chattr +a /var/log/rootlog.txt
linux 用户管理(3)----查看用户登录时间以及命令历史
热门推荐
录事参军
02-26 8万+
1、查看当前登录用户信息 who命令: who缺省输出包括用户名、终端类型、登陆日期以及远程主机。 who /var/log/wtmp 可以查看自从wtmp文件创建以来的每一次登陆情况 (1)-b:查看系统最近一次启动时间 (2)-H:打印每列的标题users命令: 打印当前登录用户,每个显示的用户名对应一个登陆会话。2、查看命令历史 每个用户都有
linux用户登陆记录脚本
weixin_34395205的博客
11-23 88
#log_history #PS1="`whoami`@`hostname`:"'[$PWD]' history USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'` if [ "$USER_IP" = "" ] then USER_IP=`hostname...
脚本生成所有登录用户操作历史Linux 查看登录日志
的博客
10-02 1396
在linux系统的环境下,不管是root用户还是其它的用户只有登陆系统后用进入操作我们都可以通过命令history来查看历史记录,可是假如一台服务器多人登陆,一天因为某人误操作了删除了重要的数据。这时候通过查看历史记录命令:history)是没有什么意义了(因为history只针对登录用户下执行有效,即使root用户也无法得到其它用户histotry历史)。那有没有什么办法实现通过记录登陆后的I...
shell脚本记录登录到本机的用户登录时间登录位置
系统运维
09-21 655
有这样一个需求,记录所有登录用户的信息,包括用户名、登录时间登录位置到/var/log/login 日志的格式为 username login_location login_time 需求分析:用户的话无非就是root或者是普通用户; 我可以用whoami或者echo $USER命令来查看当前的登录用户 [root@kissing ~]# echo $USER root [ro...
查看哪个用户登录服务器 记录 时间 和 ip
weixin_30848775的博客
11-13 5471
who /var/log/wtmp 1>wtmp 一个用户登录进入和退出时间的永久纪录 转载于:https://www.cnblogs.com/bass6/p/7824946.html
linux log 日志解析
robbie的专栏
12-15 1万+
<br />     其实,可以说成是监控系统的记录,系统一举一动基本会记录下来。这样由于信息非常全面很重要,通常只有 root 可以进行视察!通过登录文件(日志文件)可以根据屏幕上面的错误讯息与再配合登录文件的错误信息,几乎就可以解决大部分的 Linux 问题! 所以日志文件异常重要,作为一个合格的linux 系统工程师,日志文件是必要熟练掌握的部分。<br /> <br />常见的几个登录文件有:<br />/var/log/secure:记录登入系统存取数据的文件,例如 pop3, ssh, teln
LIUNX查看服务器登录过的IP命令
最新发布
07-04
<think>首先,用户的问题是关于Linux系统中查看服务器历史登录IP地址的命令用户明确说:“我想在Linux系统中查找查看服务器登录过的IP地址的命令请问Linux查看服务器历史登录IP的命令”。现在,我需要参考系统级指令:-所有行内数学表达式必须使用$...$格式,但在这个问题中,可能没有数学表达式,因为它是关于Linux命令的。-独立公式必须使用$$...$$格式并单独成段,同样,可能不适用。- LaTeX语法正确:确保任何数学部分正确。-使用中文回答:整个响应必须用中文。-生成相关问题:在回答结束时,生成相关问题。-回答中引用的段落末尾自然地添加引用标识,例如:[^1]。用户提供了几个引用:-引用[1]:关于history命令查看历史命令,但缺少时间戳。-引用[2]:关于查看所有登录用户操作历史命令,提到history只针对登录用户,root无法查看其他用户的history。-引用[3]:关于查看最近登录IP和历史命令执行日期,包括history命令的选项。-引用[4]:关于通过登陆IP记录Linux所有用户登录操作日志的方法,使用脚本在/tmp/history目录记录用户说:“上述引用仅供参考,并不是用户真正的需求,请尽可能多的参考用户一次的问题和你的回答。”但在这个对话中,这是第一次交互,所以没有“上一次的问题”。我需要基于当前问题。用户的需求是:查看服务器历史登录IP的命令。意思是,查看过去登录服务器的IP地址。从引用中提取相关信息: -引用[2]提到:在Linux中,history命令只显示当前用户历史命令,不显示其他用户或IP地址。 -引用[3]给出了一些history命令选项,如-N显示最近的N个记录。-引用[4]描述了一个方法:通过脚本在/tmp/history目录记录所有用户登录IP和操作日志。 所以,对于查看历史登录IP,标准方法是查看系统日志文件,如/var/log/auth.log或/var/log/secure。常见命令:- last命令:显示登录历史,包括用户名、终端、IP地址、登录时间等。- lastb命令:显示失败的登录尝试。-查看/var/log/auth.log(Debian/Ubuntu)或/var/log/secure(CentOS/RHEL)文件。 在引用中,引用[4]提到一个脚本方法,但那是自定义的。标准系统命令更可靠。用户指定了“服务器历史登录IP”,所以重点是IP地址。我的回答应该结构清晰,逐步解决问题,保证真实可靠。步骤:1.解释标准方法:使用last命令。2.如果需要更多细节,查看日志文件。3.提到如何过滤IP地址。4.根据引用,引用[4]中的脚本方法可以作为补充。但用户说引用仅供参考,不是真正需求,所以我应该优先标准命令。 回答结构:-开头直接回答命令。 -详细解释如何使用。 -添加引用标识,如果引用相关部分。 -最后生成相关问题。用中文回答。 命令示例: -last |grep -i"loggedin"或类似,但last直接显示IP。 last命令输出包括IP地址。例如:last -i显示IP地址。 manlast:last [选项][用户名...][终端...]选项:-i或--ip显示IP地址而不是主机名。 在大多数系统上,last默认显示IP。例如:$lastusernamepts/0192.168.1.100 TueMay2110:00 stilllogged in所以,IP是可见的。查看所有登录历史:last只显示IP:last| awk'{print$3}' |sort |uniq或类似。但最好提供完整命令。另一个命令:who /var/log/wtmp,但wtmp是登录记录文件,last读取它。所以,last是标准命令。 日志文件:/var/log/auth.log或 /var/log/secure,使用grep。例如:grep"Acceptedpassword" /var/log/auth.log| awk'{print$11}'但IP位置可能因系统而异。 在回答中,我应该推荐last命令作为首选。 生成相关问题:基于主题,如: 1.如何查看失败的登录尝试? 2.如何永久记录登录IP? 3.如何限制IP登录? 4.与history命令的区别?系统级指令说“生成相关问题”,所以在结束前添加。 引用标识:当引用用户提供的引用时,添加[^1]等。 在回答中,我可以提到引用[3]和[4]中的点。例如,引用[3]提到history命令选项,但用户问的是登录IP,不是命令历史。引用[4]提到脚本方法。所以,在回答中,我可以先说标准命令,然后提到自定义方法作为选项。 最终回答结构: -介绍:在Linux中,查看历史登录IP的常用命令是last。 -详细解释:如何使用last命令,示例。-替代方法:查看日志文件,如/var/log/auth.log。-自定义方法:引用引用[4],提到脚本记录。 -添加引用标识。 -结束:相关问题。 确保回答真实可靠:基于标准Linux知识。</think>### Linux 查看服务器历史登录IP的命令 在Linux系统中,查看服务器历史登录的IP地址是系统管理和安全审计的常见需求。标准方法是使用系统日志文件和内置命令,这些工具能记录用户登录事件(包括IP地址)。以下我将逐步介绍最可靠且常用的方法,确保回答基于真实Linux环境(如Debian/Ubuntu或CentOS/RHEL系统)。需要注意的是,history命令(如引用[1]和[2]所述)主要用于查看命令执行历史,而非登录IP地址;它只针对当前用户,且无法直接显示IP[^2]。因此,我推荐以下方法: #### 1. **使用`last`命令(首选方法)** `last`命令是查看登录历史的最直接工具,它读取系统日志文件`/var/log/wtmp`(记录登录/注销事件)。默认输出包括用户名、终端、IP地址、登录时间和状态。 - **基本命令**: ```bash last ``` 输出示例: ``` username pts/0 192.168.1.100 Tue May 21 10:00 still logged in root tty1 Mon May 20 09:30 - 17:00 (07:30) ``` 其中,第三列(如`192.168.1.100`)就是登录IP地址。如果显示为空白或主机名,可能需添加选项强制显示IP。 - **过滤只显示IP地址**: 使用`-i`或`--ip`选项(在某些系统上,IP地址默认显示,但此选项确保输出标准化),并结合`awk`提取IP: ```bash last -i | awk '{print $3}' | grep -E '([0-9]{1,3}\.){3}[0-9]{1,3}' | sort | uniq ``` 解释: - `last -i`:强制显示IP地址而非主机名。 - `awk '{print $3}'`:提取第三列(IP地址)。 - `grep -E ...`:过滤出有效的IPv4地址。 - `sort | uniq`:去重并排序,显示所有唯一登录IP。 此命令会列出所有历史登录IP,包括当前登录会话(如`still logged in`)。引用[3]提到`last`命令的灵活性,它支持选项如`-n N`显示最近的N条记录(例如`last -n 10`查看最近10登录)[^3]。 - **查看特定用户时间范围**: - 只显示用户`john`的登录IP:`last -i -n 20 john`(显示最近20条)。 - 结合日期:`last -i -s 2024-05-01 -t 2024-05-31`(查看5月份登录记录)。 #### 2. **查看系统日志文件(备选方法)** 如果`last`命令不可用(例如`wtmp`文件损坏),可以直接解析系统认证日志。日志文件路径因发行版而异: - **Debian/Ubuntu**:主日志文件为`/var/log/auth.log`。 - **CentOS/RHEL**:主日志文件为`/var/log/secure`。 使用`grep`搜索登录事件(如SSH登录): ```bash grep "Accepted password" /var/log/auth.log | awk '{print $11}' ``` 或针对CentOS: ```bash grep "Accepted password" /var/log/secure | awk '{print $11}' ``` 解释: - `"Accepted password"`:匹配成功登录事件(SSH登录)。 - `awk '{print $11}'`:提取IP地址列(位置可能因日志格式变化,需验证;通常为第11列)。 - 输出示例:`192.168.1.100`。 为更可靠,可以添加时间戳: ```bash grep "Accepted password" /var/log/auth.log | awk '{print $1,$2,$3,$11}' ``` #### 3. **自定义脚本方法(高级选项)** 对于更持久的记录(如审计所有用户操作),可以设置自定义脚本,如引用[4]所述。该方法在`/tmp/history`目录记录所有用户登录IP和命令历史: - 实现步骤: 1. 创建脚本(例如`/etc/profile.d/login_logger.sh`): ```bash #!/bin/bash USER_IP=$(echo $SSH_CLIENT | awk '{print $1}') LOG_DIR="/tmp/history" if [ ! -d "$LOG_DIR" ]; then mkdir -p "$LOG_DIR" chmod 777 "$LOG_DIR" fi DATE=$(date +"%Y%m%d_%H%M%S") echo "$(date) - User: $USER, IP: $USER_IP" >> "$LOG_DIR/${USER}_login.log" export HISTFILE="$LOG_DIR/${USER}_history.log" ``` 2. 使脚本生效:`chmod +x /etc/profile.d/login_logger.sh`。 3. 登录后,在`/tmp/history`目录查看文件,如`cat /tmp/history/john_login.log`。 - 优点:记录详细,包括IP和操作历史。缺点:需手动设置,且`/tmp`目录在重启后可能清空(建议修改为持久目录如`/var/log/history`)[^4]。 #### 注意事项 - **权限要求**:查看日志或执行`last`通常需要root权限。使用`sudo last`或`sudo grep`。 - **日志轮转**:日志文件可能被轮转(如`auth.log.1`),使用`zcat /var/log/auth.log.1.gz`查看压缩文件。 - **安全提示**:历史登录IP信息有助于检测入侵(如异常IP),但标准日志可能被删除。建议启用`rsyslog`或`auditd`进行长期审计。 通过以上方法,您可以高效查看服务器历史登录IP。如果问题持续,提供更多细节(如Linux发行版)可进一步优化回答。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值