連結：https://www.cnblogs.com/f-ck-need-u/p/7011460.html

1 使用者和組的基本概念

使用者和組是作業系統中一種身份認證資源。

每個使用者都有使用者名稱、使用者的唯一編號uid(user id)、所屬組及其預設的shell，可能還有密碼、家目錄、附屬組、註釋資訊等。

每個組也有自己的名稱、組唯一編號gid(group id)。一般來說，gid和uid是可以不相同的，但絕大多數都會讓它們保持一致，大致屬於約定俗成類的概念吧。

組分為主組(primary group)和輔助組(secondary group)兩種，使用者一定會屬於某個主組，也可以同時加入多個輔助組。

在Linux中，使用者分為3類：

(1). 超級管理員

超級管理員是最高許可權者，它的uid=0，預設超級管理員使用者名稱為root。因為uid預設具有唯一性，所以超級管理員預設只能有一個(如何添加額外的超級管理員，見useradd命令)，但這一個超級管理員的名稱並非一定要是root。但是沒人會去改root的名稱，在後續非常非常多的程式中，都認為超級管理員名稱為root，這裏要是一改，牽一發而動全身。

(2). 系統使用者

有時候需要一類具有某些特權但又不需要登入作業系統的使用者，這類使用者稱為系統使用者。它們的uid範圍從201到999(不包括1000)，有些老版本範圍是1到499(centos 6)，出於安全考慮，它們一般不用來登入，所以它們的shell一般是/sbin/nologin，而且大多數時候它們是沒有家目錄的。

(3). 普通使用者

普通使用者是許可權受到限制的使用者，預設只能執行/bin、/usr/bin、/usr/local/bin和自身家目錄下的命令。它們的uid從500開始。盡管普通使用者許可權收到限制，但是它對自身家目錄下的檔是有所有許可權的。

超級管理員和其他型別的使用者，它們的命令提示字元是不一樣的。uid=0的超級管理員，命令提示字元是"#"，其他的為"$"。

預設root使用者的家目錄為/root，其他使用者的家目錄一般在/home下以使用者名稱命名的目錄中，如longshuai這個使用者的家目錄為/home/longshuai。當然，家目錄是可以自訂位置和名稱的。

2.2 使用者和組管理相關的檔

2.2.1 使用者檔/etc/passwd

/etc/passwd檔裏記錄的是 作業系統中使用者 的資訊，這裏面記錄了幾行就表示系統中有幾個系統使用者。它的格式大致如下：

每一行表示一個使用者，每一行的格式都是6個冒號共7列內容，其中有很多使用者的某些列內容是留空的。

使用者名稱:x:uid:gid:使用者註釋資訊:家目錄:使用的shell型別

使用者的預設shell表示的是使用者登入(如果允許登入)時的環境或執行的命令。例如shell為/bin/bash時，表示登入時就執行/bin/bash命令進入bash環境；shell為/sbin/nologin表示該使用者不能登入，之所以不能登入不是因為指定了這個特殊的程式，而是由/sbin/nologin這個程式的功能實作的，假如修改Linux的原始碼，將/sbin/nologin這個程式變成可登入，那麽shell為/sbin/nologin時也是可以登入的。

2.2.2 密碼檔/etc/shadow

/etc/shadow檔中存放的是使用者的密碼資訊。該檔具有特殊內容，除了超級管理員，任何人都不能直接讀取和修改該檔，而使用者自身之所以能修改密碼，則是因為passwd程式的suid內容，使得修改密碼時臨時提升為root許可權。

該檔的格式大致如下：

root:$ 6 $hS4yqJu7WQfGlk0M$Xj/SCS5z4BWSZKN0raNncu6VMuWdUVbDScMYxOgB7mXUj./dXJN0zADAXQUMg0CuWVRyZUu6npPLWoyv8eXPA.:: 0 : 99999 : 7 ::: ftp :*: 16659 : 0 : 99999 : 7 ::: nobody: *: 16659 : 0 : 99999 : 7 ::: longshuai:$ 6 $8LGe6Eh6$vox9.OF3J9nD0KtOYj2hE9DjfU3iRN.v3up4PbKKGWLOy3k1Up50bbo7Xii/Uti05hlqhktAf/dZFy2RrGp5W/: 17323 : 0 : 99999 : 7 :::

每一行表示一個使用者密碼的內容，有8個冒號共9列內容。該檔更詳細的資訊看wiki： https://en.wikipedia.org/wiki/Passwd#Shadow_file 。

2.2.3 組檔/etc/group和/etc/gshadow

大致知道有這麽兩個檔即可，至於檔中的內容無需關註。

/etc/group包含了組資訊。每行一個組，每一行3個冒號共4列內容。

root:x: 0 : longshuai:x: 500 : xiaofang:x: 501 :zhangsan,lisi

/etc/gshadow包含了組密碼資訊

2.2.4 骨架目錄/etc/skel

骨架目錄中的檔是每次新建使用者時，都會復制到新使用者家目錄裏的檔。預設只有3個環境配置檔，可以修改這裏面的內容，或者添加幾個檔在骨架目錄中，以後新建使用者時就會自動獲取到這些環境和檔。

shell> ls –l -A /etc/skel
total 12
-rw-r--r--. 1 root root 18 Oct 162014 .bash_logout
-rw-r--r--. 1 root root 176 Oct 162014 .bash_profile
-rw-r--r--. 1 root root 124 Oct 162014 .bashrc

刪除家目錄下這些檔，會導致某些設定出現問題。例如刪除".bashrc"這個檔，會導致提示符變異的問題，如下右圖。

要解決這個問題，只需拷貝一個正常的.bashrc檔到其家目錄中即可。一般還會修改該檔的所有者和許可權。

2.2.5 /etc/login.defs

設定使用者帳號限制的檔。該檔裏的配置對root使用者無效。

如果/etc/shadow檔裏有相同的選項，則以/etc/shadow裏的設定為準，也就是說/etc/shadow的配置優先級高於/etc/login.defs。

該檔有很多配置項，檔的預設內容只給出了一小部份，若想知道全部的配置項以及配個配置項的詳細說明，可以"man 5 login.defs"檢視。

[root@xuexi ~]# less /etc/login.defs
#QMAIL_DIR Maildir # QMAIL_DIR是Qmail信件的目錄，所以可以不設定它
MAIL_DIR /var/spool/mail # 預設信件根目錄，即信箱
#MAIL_FILE .mail # mail檔的格式是.mail
# Password aging controls:
PASS_MAX_DAYS
99999 # 密碼最大有效期(天)
PASS_MIN_DAYS 0 # 兩次密碼修改之間最小時間間隔
PASS_MIN_LEN 5 # 密碼最短長度
PASS_WARN_AGE 7 # 密碼過期前給警告資訊的時間
# 控制useradd建立使用者時自動選擇的uid範圍
# Min
/max values for automatic uid selection in useradd
UID_MIN 1000
UID_MAX 60000
# System accounts
SYS_UID_MIN 201
SYS_UID_MAX 999
# 控制groupadd建立組時自動選擇的gid範圍
# Min
/max values for automatic gid selection in groupadd
GID_MIN 1000
GID_MAX 60000
# System accounts
SYS_GID_MIN 201
SYS_GID_MAX 999
# 設定此項後，在刪除使用者時，將自動刪除使用者擁有的at
/cron/print等job
#USERDEL_CMD /usr/sbin/userdel_local
# 控制useradd添加使用者時是否預設建立家目錄，useradd
-m選項會覆蓋此處設定
CREATE_HOME yes
# 設定建立家目錄時的umask值，若不指定則預設為022
UMASK
077
# 設定此項表示當組中沒有成員時自動刪除該組
# 且useradd是否同時建立同使用者名稱的主組。(該檔中並沒有此項說明，來自於man useradd中
-g選項的說明)
USERGROUPS_ENAB yes
# 設定使用者和組密碼的加密演算法
ENCRYPT_METHOD SHA512

註意，/etc/login.defs中的設定控制的是shadow-utils包中的元件，也就是說，該元件中的工具執行操作時會讀取該檔中的配置。該元件中包含下面的程式：

/usr/bin/gpasswd ：administer /etc/group and /etc/gshadow
/usr/bin/newgrp ：log in to a new group，可用來修改gid，哪怕是正在登陸的會話也可以修改
/usr/bin/sg ：execute command as different group ID
/usr/sbin/groupadd ：添加組
/usr/sbin/groupdel ：刪除組
/usr/sbin/groupmems ：管理當前使用者的主組中的成員，root使用者則可以指定要管理的組
/usr/sbin/groupmod ：modify a group definition on the system
/usr/sbin/grpck ：verify integrity of group files
/usr/sbin/grpconv ：無視它
/usr/sbin/grpunconv ：無視它
/usr/sbin/pwconv ：無視它
/usr/sbin/pwunconv ：無視它
/usr/sbin/adduser ：是useradd的一個軟連結，添加使用者
/usr/sbin/chpasswd ：update passwords in batch mode
/usr/sbin/newusers ：update and create new users in batch
/usr/sbin/pwck ：verify integrity of passsword files
/usr/sbin/useradd ：添加使用者
/usr/sbin/userdel ：刪除使用者
/usr/sbin/usermod ：重定義使用者資訊
/usr/sbin/vigr ：edit the group and shadow-group file
/usr/sbin/vipw ：edit the password and shadow-password file
/usr/bin/lastlog ：輸出所有使用者或給定使用者最近登入資訊

2.2.6 /etc/default/useradd

建立使用者時的預設配置。useradd -D修改的就是此檔。

[root@xuexi ~]# cat /etc/default/useradd
# useradd defaults file
GROUP=100 # 在useradd使用-N或/etc/login.defs中USERGROUPS_ENAB=no時表示建立使用者時不建立同使用者名稱的主組(primary group)，
# 此時新建的使用者將預設以此組為主組，網上關於該設定的很多說明都是錯的，具體可看man useradd的-g選項或useradd -D的-g選項
HOME=/home # 把使用者的家目錄建在/home中
INACTIVE=-1 # 是否啟用帳號過期設定(是帳號過期不是密碼過期)，-1表示不啟用
EXPIRE= # 帳號過期時間，不設定表示不啟用
SHELL=/bin/bash # 新建使用者預設的shell型別
SKEL=/etc/skel # 指定骨架目錄，前文的/etc/skel就在這裏
CREATE_MAIL_SPOOL=yes # 是否建立使用者mail緩沖

man useradd的useradd -D選項介紹部份說明了這些項的意義。

2.3 使用者和組管理命令

2.3.1 useradd和adduser

adduser是useradd的一個軟連結。

useradd [options] login_name
選項說明：
-b：指定家目錄的basedir，預設為/home目錄
-d：指定使用者家目錄，不寫時預設為/home/user_name
-m：要建立家目錄時，若家目錄不存在則自動建立，若不指定該項且/etc/login.defs中的CREATE_HOME未啟用時將不會建立家目錄
-M：顯式指明不要建立家目錄，會覆蓋/etc/login.defs中的CREATE_HOME設定
-g：指定使用者主組，要求組已存在-G：指定使用者的輔助組，多個組以逗號分隔
-N：明確指明不要建立和使用者名稱同名的組名
-U：明確指明要建立一個和使用者名稱同名的組，並將使用者加入到此組中
-o：允許建立一個重復UID的使用者，只有和-u選項同時使用時才生效
-r：建立一個系統使用者。useradd命令不會為此選項的系統使用者建立家目錄，除非明確使用-m選項
-s：指定使用者登入的shell，預設留空。此時將選擇/etc/default/useradd中的SHELL變量設定
-u：指定使用者uid，預設uid必須唯一，除非使用了-o選項
-c：使用者的註釋資訊
-k：指定骨架目錄(skeleton)
-K：修改/etc/login.defs檔中有關於使用者的配置項，不能修改組相關的配置。設定方式為KEY=VALUE，如-K UID_MIN=100
-D：修改useradd建立使用者時的預設選項，就修改/etc/default/useradd檔
-e：帳戶過期時間，格式為"YYYY-MM-DD"
-f：密碼過期後，該帳號還能存活多久才被禁用，設定為0表示密碼過期立即禁用帳戶，設定為-1表示禁用此功能
-l：不要將使用者的資訊寫入到lastlog和faillog檔中。預設情況下，使用者資訊會寫入到這兩個檔中
useradd
-D [options]
修改/etc/default/useradd檔
選項說明：不加任何選項時會列出預設內容
-b, --base-dir BASE_DIR
-e, --expiredate EXPIRE_DATE
-f, --inactive INACTIVE
-g, --gid GROUP
-s, --shell SHELL

範例：

[root@xuexi ~]# useradd -D -e "2016-08-20" # 設定使用者2016-08-20過期
[root@xuexi
~]# useradd -D
GROUP=100
HOME=/home
INACTIVE=-1
EXPIRE=2016-08-20
SHELL=/bin/bash
SKEL=/etc/skel
CREATE_MAIL_SPOOL=yes
[root@xuexi
~]# cat /etc/default/useradd
# useradd defaults file
GROUP=100
HOME=/home
INACTIVE=-1
EXPIRE=2016-08-20
SHELL=/bin/bash
SKEL=/etc/skel
CREATE_MAIL_SPOOL=yes

useradd建立使用者時，預設會自動建立一個和使用者名稱相同的使用者組，這是/etc/login.defs中的USERGROUP_ENAB變量控制的。

useradd建立普通使用者時，不加任何和家目錄相關的選項時，是否建立家目錄是由/etc/login.defs中的CREATE_HOME變量控制的。

2.3.2 批次建立使用者newusers

newusers用於批次建立或修改已有使用者資訊。在建立使用者時，它會讀取/etc/login.defs檔中的配置項。

newusers [options] [file]

newusers命令從file中或標準輸入中讀取要建立或修改使用者的資訊，檔中每行格式都一樣，一行代表一個使用者。格式如下：

pw_name:pw_passwd:pw_uid:pw_gid:pw_gecos:pw_dir:pw_shell

各列的意義如下：

newusers [options] [file]

選項說明：

-c：指定加密方法，可選DES,MD5,NONE,SHA256和SHA512

-r：建立一個系統使用者

newusers首先嘗試建立或修改所有指定的使用者，然後將資訊寫入到user和group的檔中。如果嘗試建立或修改使用者過程中發生錯誤，則所有動作都將回滾，但如果在寫入過程中發生錯誤，則寫入成功的不會回滾，這將可能導致檔的不一致性。要檢查使用者、組檔的一致性，可以使用showdow-utils包提供的grpck和pwck命令。

範例：

shell> cat /tmp/userfile
zhangsan:123456:2000:2000::/home/zhangsan:/bin/bash
lisi:123456:::::/bin/bash
shell> newusers
-c SHA512 /tmp/userfile
shell> tail -2 /etc/passwd
zhangsan:x:2000:2000::/home/zhangsan:/bin/bash
lisi:x:2001:2001:::/bin/bash
shell> tail -2 /etc/shadow
zhangsan:$6$aI1Mk/krF$xN0TFOIRibrb/mYngJ/sV3M7g4zOxqOh8CWyDlI0uwmr5qNTzsmwauRFvCpfLtvtiJYZ/5bil.XfJMNB.sqDY1:17323:0:99999:7:::
lisi:$6$bngXo/V6wWW$.TlQCJtEm9krBX0Oiep/iahS59a/BwVYcSc8F9lAnMGF55K6W5YoUZ2nK6WkMta3p7sihkxHm/AuNrrJ6hqNn1:17323:0:99999:7:::

2.3.3 groupadd

建立一個新組。

groupadd [options] group
選項說明：
-f：如果要建立的組已經存在，預設會錯誤結束，使用該選項則強制建立且以正確狀態結束，只不過gid可能會不受控制。
-g：指定gid，預設gid必須唯一，除非使用了-o選項。
-K：修改/etc/login.defs中關於組相關的配置項。配置方式為KEY=VALUE，例如-K GID_MIN=100 -K GID_MAX=499
-o：允許建立一個非唯一gid的組
-r：建立系統組

2.3.4 修改密碼passwd

修改密碼的工具。預設passwd命令不允許為使用者建立空密碼。

passwd修改密碼前會透過pam認證使用者，pam配置檔中與此相關的設定項如下：

passwd password requisite pam_cracklib.so retry=3

passwd password required pam_unix.so use_authtok

命令的用法如下：

passwd options [username]
選項說明：
-l：釘選指定使用者的密碼，在/etc/shadow的密碼列加上字首"!"或"!!"。這種釘選不是完全釘選，使用ssh公鑰還是能登入。要完全釘選，使用chage -E 0來設定帳戶過期。
-u：解鎖-l釘選的密碼，解鎖的方式是將/etc/shadow的密碼列的字首"!"或"!!"移除掉。但不能移除只有"!"或"!!"的項。
--stdin：從標準輸入中讀取密碼
-d：刪除使用者密碼，將/etc/shadow的密碼列設定為空
-f：指定強制操作
-e：強制密碼過期，下次登入將強制要求修改密碼
-n：密碼最小使用天數
-x：最大密碼使用天數
-w：過期前幾天開始提示使用者密碼將要過期
-i：設定密碼過期後多少天，使用者才過期。使用者過期將被禁用，修改密碼也無法登陸。

2.3.5 批次修改密碼chpasswd

以批次處理模式從標準輸入中獲取提供的使用者和密碼來修改使用者密碼，可以一次修改多個使用者密碼。也就是說不用互動。適用於一次性建立了多個使用者時為他們提供密碼。

chpasswd [-e -c] "user:passwd"
-c：指定加密演算法，可選的演算法有DES,MD5,NONE,SHA256和SHA512
user:passwd為使用者密碼對，其中預設passwd是明文密碼，可以指定多對，每行一個使用者密碼對。前提是使用者是已存在的。
-e：passwd預設使用的是明文密碼，如果要使用密文，則使用-e選項。參見man chpasswd

chpasswd會讀取/etc/login.defs中的相關配置，修改成功後會將密碼資訊寫入到密碼檔中。

該命令的修改密碼的處理方式是先在記憶體中修改，如果所有使用者的密碼都能設定成功，然後才寫入到磁盤密碼檔中。在記憶體中修改過程中出錯，則所有修改都回滾，但若在寫入密碼檔過程中出錯，則成功的不會回滾。

範例：

修改單個使用者密碼。

shell> echo"user1:123456" | chpasswd -c SHA512

修改多個使用者密碼，則提供的每個使用者對都要分行。

shell> echo -e 'usertest:123456\nusertest2:123456' | chpasswd

更方便的是寫入到檔中，每行一個使用者密碼對。

shell> cat /tmp/passwdfile
zhangsan:123456
lisi:123456
shell
> chapasswd -c SHA512 </tmp/passwdfile

2.3.6 chage

chage命令主要修改或檢視和密碼時間相關的內容。具體的看man文件，可能用到的兩個選項如下：

-l：列出指定使用者密碼相關資訊

-E：指定帳戶(不是密碼)過期時間，所以是強釘選，如果指定為0，則立即過期，即直接釘選該使用者

[root@server2 ~]# chage -l zhangsan
Last password change : Jun 06, 2017
Password expires : never
Password inactive : never
Account expires : never
Minimum number of days between password change : 0
Maximum number of days between password change : 99999
Number of days of warning before password expires : 7
[root@server2
~]# chage -E 0 zhangsan
[root@server2
~]# chage -l zhangsan
Last password change : Jun 06, 2017
Password expires : never
Password inactive : never
Account expires : Jan 01, 1970
Minimum number of days between password change : 0
Maximum number of days between password change : 99999
Number of days of warning before password expires : 7

2.3.7 刪除使用者和組

userdel命令用於刪除使用者。

userdel [options] login_name
-r：遞迴刪除家目錄，預設不刪除家目錄。
-f：強制刪除使用者，即使這個使用者正處於登入狀態。同時也會強制刪除家目錄。

一般不直接刪除家目錄，即不用-r，可以vim /etc/passwd，將不需要的使用者直接註釋掉。

groupdel命令刪除組。如果要刪除的組是某使用者的主組，需要先刪除主組中的使用者。

2.3.8 usermod

修改帳戶內容資訊。必須要確保在執行該命令的時候，待修改的使用者沒有在執行行程。

usermod [options] login
選項說明：
-l：修改使用者名稱，僅僅只是改使用者名稱，其他的一切都不會改動(uid、家目錄等)
-u：新的uid，新的uid必須唯一，除非同時使用了-o選項
-g：修改使用者主組，可以是以gid或組名。對於那些以舊組為所屬組的檔(除原家目錄)，需要重新手動修改其所屬組
-m：移動家目錄內容到新的位置，該選項只在和-d選項一起使用時才生效
-d：修改使用者的家目錄位置，若不存在則自動建立。預設舊的家目錄不會刪除
如果同時指定了-m選項，則舊的家目錄中的內容會移到新家目錄
如果當前使用者家目錄不存在或沒有家目錄，則也不會建立新的家目錄
-o：允許使用者使用非唯一的UID
-s：修改用的shell，留空則選擇預設shell
-c：修改使用者註釋資訊
-a：將使用者以追加的方式加入到輔助組中，只能和-G選項一起使用
-G：將使用者加入指定的輔助組中，若此處未列出某組，而此前該使用者又是該組成員，則會刪除該組中此成員
-L：釘選使用者的密碼，將在/etc/shadow的密碼列加上字首"!"或"!!"
-U：解鎖使用者的密碼，解鎖的方式是移除shadow檔密碼列的字首"!"或"!!"
-e：帳戶過期時間，時間格式為"YYYY-MM-DD"，如果給一個空的參數，則立即禁用該帳戶
-f：密碼過期後多少天，帳戶才過期被禁用，0表示密碼過期帳戶立即禁用，-1表示禁用該功能

同樣，還有groupmod修改組資訊，用法非常簡單，幾乎也用不上，不多說了。

2.3.9 vipw和vigr

vipw和vigr是編輯使用者和組檔的工具，vipw可以修改/etc/passwd和/etc/shadow，vigr可以修改/etc/group和/etc/gshadow，用這兩個工具比較安全，在修改的時候會檢查檔的一致性。

刪除使用者出錯時，提示使用者正在被行程占用。可以使用vi編輯/etc/paswd和/etc/shadow檔將該使用者對應的行刪除掉。也可以使用vipw和vipw -s來分別編輯/etc/paswd和/etc/shadow檔。它們的作用是一樣的。

2.3.10 手動建立使用者

手動建立使用者的全過程：需要管理員許可權。

shell> mkdir /home/user_name
shell> cp -r /etc/skel /home/user_name。

shell> chown -R user_name:user_name /home/user_name

shell> chmod -R 700 /home/user_name

到此為止，使用者已經建立完成了，只是沒有密碼，所以只能su，不能登入。

# 生成使用md5演算法的密碼，然後將其復制到/etc/shadow對應的密碼位
# 其中-1是指md5，-salt '12345678'是使用8位元字元建立密碼的雜項
shell> openssl passwd -1 -salt '12345678' '123456'

以下是全過程。

shell> mkdir /tmp/12;cp /etc/group /etc/passwd /etc/shadow /tmp/12/ # 備份這些檔
shell> echo"userX:x:666" >> /etc/group
shell> echo"userX:x:666:666::/home/userX:/bin/bash" >> /etc/passwd
shell> echo'userX:!!:17121:0:99999::::' >> /etc/shadow
shell> cp -r /etc/skel /home/userX
shell> chown -R userX:userX /home/userX
shell> chmod -R go= /home/userX
shell> passwd --stdin userX <<< '123456'

測試使用userX是否可以登入。

如果是使用openssl passwd建立的密碼。那麽使用下面的方法將這部份密碼替換到/etc/shadow中。

shell> field=$(tail -1 /etc/shadow | cut -d":" -f2)
shell> password=$(openssl passwd -1 -salt 'abcdefg'123456)
shell> sed -i '$s%'$field'%'$password'%' /etc/shadow

2.4 其他使用者相關命令

2.4.1 finger檢視使用者資訊

從CentOS 6版本開始就沒有該命令了，要先安裝。

shell> yum -y install finger
shell> useradd zhangsan
shell> finger zhangsan
Login: zhangsan Name:
Directory: /home/zhangsan Shell: /bin/bash
Never logged in.
No mail.
No Plan.

2.4.2 id

id username
-u：得到uid
-n：得到使用者名稱而不是uid
-z：無任何空白字元輸出模式，不能在預設的格式下使用。

範例：

shell> id root
uid=0(root) gid=0(root) groups=0(root)
shell
> id wangwu
uid=500(wangwu) gid=500(wangwu) groups=500(wangwu)
shell
> id -u wangwu
500
shell
> id -u -z wangwu
2002[root@server2 ~]#

2.4.3 users

檢視當前正在登陸的使用者名稱。

2.4.4 last

檢視最近登入的使用者列表，其實last檢視的是/var/log/wtmp檔。

-n 顯示行數：列出最近幾次登入的使用者

[root@xuexi ~]# last -4
root pts/0192.168.100.1 Wed Mar 3015:16 still logged in
root pts/1192.168.100.1 Wed Mar 3014:21 - 14:21 (00:00)
root pts/1192.168.100.1 Wed Mar 3014:04 - 14:10 (00:06)
root pts/0192.168.100.1 Wed Mar 3013:12 - 15:16 (02:04)
wtmp begins Thu Feb
1820:59:392016

2.4.5 lastb

檢視誰嘗試登陸過但沒有登入成功的。即能夠稽核和檢視誰曾經不斷的登入，可能那就是黑客。

-n:只列出最近的n個嘗試物件。

2.4.6 who和w

都是檢視誰登入過，並幹了什麽事

w檢視的資訊比who多。

shell> who
root tty1 2017-06-0700:49
root pts/02017-06-0702:06 (192.168.100.1)
shell
> w
08:26:38 up 18:48, 2 users, load average: 0.00, 0.01, 0.05
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root tty1 00:497:36m 0.24s 0.24s -bash
root pts/0192.168.100.102:066.00s 0.97s 0.02s w

其中 w的第一行，分別表示當前時間，已開機時長，當前線上使用者，過去 1、 5、 15分鐘的平均負載率。這一行和 uptime命令獲取的資訊是完全一致的。

2.4.7 lastlog

可以檢視登入的來源IP

-u 指定檢視使用者

shell> lastlog|head -n 10
Username Port From Latest
root pts/0192.168.100.1 Wed Mar 3015:16:25 +08002016
bin **Never logged in**
daemon **Never logged in**
adm **Never logged in**
lp **Never logged in**
sync **Never logged in**
shutdown **Never logged in**
halt **Never logged in**
mail **Never logged in**

<END>

點這裏👇關註我，記得標星呀～