一、用户登录日志文件
/var/log/
记录了全部服务的登陆的文件或错误信息文件 ,其中
lastlog
、
secure
、
wtmp
、
lastlog
四个文件存储了用户相关登录日志
/var/run/
文件夹中存放了自系统启动以来描述系统信息的文件,其中
utmp
文件中存储了用户相关登录信息
blog.csdnimg.cn/05550c26cb434688be81dbf75c45177b.png)
1 /var/log/secure
安全和身份日志,记录用户和工作组变化情况、用户登陆认证情况 ,可以查看ssh登录的情况 。
- 使用
cat命令查看 
2 /var/log/lastlog
记录用户最后一次成功登陆的时间、登陆IP等信息
- 二进制文件,使用
cat命令查看出现乱码
- 使用
lastlog命令查看,root为管理员用户,admin为普通用户,其他为系统用户,系统用户没有权限登录,所以显示为never logged in
3 /var/log/btmp
记录失败的登录尝试信息,默认由
**lastb**
命令查看。
- 二进制文件,使用
cat命令查看会出现乱码
- 使用
lastb命令查看该文件
4 /var/log/wtmp
记录登陆过系统的所有用户信息,使用
last
命令可以查看
- 二进制文件,使用
cat命令查看会出现乱码
- 使用
last命令查看
5 /var/run/utmp
记录当前登录系统的用户信息,默认由who和w记录当前登录用户的信息,uptime记录系统启动时间
- 二进制文件,使用
cat命令查看会出现乱码
- 使用
who命令可以查看当前正在登录的用户
- 使用
w命令查看
二、用户相关的其他文件
1 /etc/passwd
/etc/passwd
存储了创建的所有用户的信息,新建的用户通常存在文件的最后一行,可以通过查看passwd文件查看新增的用户信息
2 /etc/shadow
/etc/shadow
文件记录了所有用户的密码信息,该文件只有管理员用户有权限查看
本文转载自: https://blog.csdn.net/m0_73923817/article/details/128305969
版权归原作者 NUIST数字取证中心 所有, 如有侵权,请联系我们删除。
版权归原作者 NUIST数字取证中心 所有, 如有侵权,请联系我们删除。