如何在Linux中查看失败登录 Linux lastb命令使用

要查看Linux中失败的登录尝试，最应依赖的命令是lastb。它从/var/log/btmp文件读取数据，显示用户名、终端、来源IP、登录时间等信息，帮助识别暴力破解或配置错误。lastb与last命令不同，后者记录成功登录，而lastb专注失败尝试，是安全审计的关键工具。通过分析其输出模式，如频繁尝试特定用户或密集时间戳，可发现攻击行为。结合Fail2Ban等工具，能有效阻止重复攻击，提升系统安全性。

在Linux系统中，要快速有效地查看失败的登录尝试，你最应该依赖的命令是

lastb

要查看Linux中的失败登录记录，最直接且常用的工具就是

lastb

/var/log/btmp

当你直接在终端输入

lastb

• 用户名 (Username): 哪个用户尝试登录失败。
• 终端 (TTY): 尝试登录的终端或伪终端，例如

  tty1

  登录后复制
  、

  pts/0

  登录后复制
  。对于远程登录，常见的是

  ssh:notty

  登录后复制
  。
• 来源IP或主机名 (From): 登录尝试的来源IP地址或主机名。如果是本地登录，可能显示

  :

  登录后复制
  或

  reboot

  登录后复制
  。
• 登录时间 (Login Time): 尝试登录的日期和时间。
• 登出时间 (Logout Time): 对于失败登录，通常显示

  down

  登录后复制
  或

  still logged in

  登录后复制
  ，但实际上是失败了，所以这个字段可能不那么直观，或者显示

  logged out

  登录后复制
  。这里的

  still logged in

  登录后复制
  在

  lastb

  登录后复制
  的语境下，其实是指登录尝试未能成功完成并退出。

示例输出：

lastb

root     ssh:notty    192.168.1.100    Tue May 14 10:30   still logged in
testuser ssh:notty    10.0.0.5         Tue May 14 10:29   still logged in
invalid  ssh:notty    172.16.0.20      Tue May 14 10:28   still logged in
(unknown) ssh:notty    192.168.1.1      Tue May 14 10:27   still logged in
...

lastb

• -a

  登录后复制
  ：显示主机名在最后一列。

• -d

  登录后复制
  ：显示DNS解析后的主机名。

• -F

  登录后复制
  ：显示完整的日期和时间。

• -n count

  登录后复制
  或

  -count

  登录后复制
  ：只显示最近的

  count

  登录后复制
  条记录。

• -s time

  登录后复制
  ：从指定时间开始显示记录。

• -t time

  登录后复制
  ：显示到指定时间为止的记录。

例如，查看最近10条失败登录记录：

lastb -n 10

或者，如果你想看看某个特定用户（比如

root

lastb root

理解这些输出对于快速识别潜在的暴力破解攻击或未经授权的访问尝试至关重要。

为什么

lastb

登录后复制

命令会成为你系统安全审计的“利器”？

说实话，作为一名系统管理员，或者哪怕是自己管理一台VPS的普通用户，你最不希望看到的就是有人在偷偷摸摸地尝试闯入你的系统。而

lastb

last

首先，它提供了一个清晰的入侵尝试历史。想象一下，如果你的服务器每隔几分钟就有一个来自不同IP地址的

root

lastb

其次，它帮助你发现潜在的配置错误。有时候，用户可能因为密码输入错误、账户被锁定或者SSH配置问题而无法登录。如果某个合法用户反复出现在

lastb

lastb

MetaVoice

AI实时变声工具

199

查看详情

再者，它的数据来源可靠。

lastb

/var/log/btmp

systemd-journald

rsyslog

lastb

我个人在处理一些入侵事件时，

lastb

/var/log/auth.log

lastb

登录后复制

与

last

登录后复制

命令有何区别？如何更有效地解读

lastb

登录后复制

的输出信息？

在Linux的世界里，

lastb

last

last

/var/log/wtmp

lastb

/var/log/btmp

我经常把它们比作两个不同的安全摄像头：一个只拍到成功进入大门的人，另一个则记录了所有在大门外徘徊、试图开门却未成功的人。显然，后者对于发现潜在的威胁更为直接。

更有效地解读

lastb

解读

lastb

1. 频繁的相同用户名失败： 如果你看到大量针对

   root

   登录后复制
   、

   admin

   登录后复制
   、

   test

   登录后复制
   等常见用户名的失败登录，并且这些尝试来自不同的IP地址，那么这几乎可以肯定是一场暴力破解攻击。攻击者通常会尝试这些默认或弱口令用户。
2. 异常的来源IP： 注意那些来自你平时不熟悉的国家或地区的IP地址。虽然IP地址不能完全代表攻击者所在地，但它可以提供一个初步的地理线索。结合

   whois

   登录后复制
   查询这些IP，有时能发现一些有趣的信息。
3. 时间戳的密集度： 如果在短时间内（比如几秒或几分钟内）有大量的失败登录记录，这表明攻击者可能在使用自动化工具进行快速尝试。正常的误输入不太可能在如此短的时间内产生如此多的记录。

4. ssh:notty

   登录后复制
   的含义： 在

   lastb

   登录后复制
   的输出中，你经常会看到

   ssh:notty

   登录后复制
   。这通常表示通过SSH协议进行的登录尝试，但没有分配一个交互式终端（tty）。这对于自动化脚本或SSH客户端来说是正常的，但如果结合其他异常，也可能是攻击者在尝试非交互式的登录方式。

5. still logged in

   登录后复制
   的误解： 之前提到过，

   lastb

   登录后复制
   中显示的

   still logged in

   登录后复制
   对于失败登录来说，并非指用户仍然在线，而是表示登录尝试未能成功完成并退出。这其实是

   last

   登录后复制
   命令的语义延伸，在

   lastb

   登录后复制
   的语境下，就是指该次尝试是失败的。

举个例子，如果我看到：

root     ssh:notty    123.45.67.89     Wed May 15 08:01   still logged in
root     ssh:notty    123.45.67.89     Wed May 15 08:01   still logged in
root     ssh:notty    123.45.67.89     Wed May 15 08:02   still logged in

这立刻会让我警觉。同一个IP，在短时间内反复尝试

root

root

root

su

sudo

识别失败登录后，如何进一步加强系统安全，防范未来的攻击？

仅仅知道有人尝试入侵是不够的，关键在于你如何利用这些信息来加固你的系统。

lastb

1. 部署和配置Fail2Ban： 这是我首推的自动化防御工具。Fail2Ban会实时监控系统日志（包括

   /var/log/auth.log

   登录后复制
   ，它包含了

   lastb

   登录后复制
   所记录的失败尝试的更详细信息），一旦发现某个IP地址在短时间内有多次失败登录尝试，它会自动将该IP添加到防火墙规则中，暂时或永久地禁止其访问。这就像给你的系统请了一个不知疲倦的保安，它能自动“踢掉”那些反复敲门却不给密码的家伙。配置Fail2Ban时，务必调整好其

   bantime

   登录后复制
   和

   findtime

   登录后复制
   参数，以及监控的服务（SSH、FTP等）。

   # 示例：查看Fail2

   登录后复制

以上就是如何在Linux中查看失败登录 Linux lastb命令使用的详细内容，更多请关注php中文网其它相关文章！