Linux lastb 命令实战示例

介绍

在本实验中，我们将探索 Linux 的 lastb 命令，该命令用于显示系统上失败的登录尝试信息。lastb 命令提供了有关潜在安全威胁和用户活动的宝贵洞察，帮助系统管理员和安全专业人员更有效地监控系统。

我们将从理解 lastb 命令的用途开始，然后深入研究其语法和可用选项。最后，我们将分析 lastb 命令的输出，以识别失败的登录尝试模式，并采取适当的措施来保护系统。

Linux 命令速查表

Skills Graph

理解 lastb 命令的用途

在这一步中，我们将探讨 Linux 中 lastb 命令的用途。lastb 命令用于显示系统上失败的登录尝试信息。

lastb 命令提供了有价值的信息，可以帮助系统管理员和安全专业人员识别潜在的安全威胁，并监控系统上的用户活动。

让我们从运行 lastb 命令开始：

sudo lastb

示例输出：

labex   tty1                         Fri Apr 14 12:34:56 2023 - Fri Apr 14 12:35:01 2023 (00:00)
root    tty1                         Fri Apr 14 12:33:51 2023 - Fri Apr 14 12:34:01 2023 (00:00)
labex   tty1                         Fri Apr 14 12:32:46 2023 - Fri Apr 14 12:33:01 2023 (00:00)
root    tty1                         Fri Apr 14 12:31:41 2023 - Fri Apr 14 12:32:01 2023 (00:00)

输出显示了用户名、终端、登录时间和失败的登录尝试的持续时间。这些信息可用于识别失败的登录尝试模式，这可能表明存在安全漏洞或未经授权的系统访问尝试。

探索 lastb 命令的语法和选项

在这一步中，我们将探索 lastb 命令的语法和可用选项。

lastb 命令的基本语法如下：

sudo lastb [options] [username]

以下是 lastb 命令的一些常见选项：

• -a：显示远程主机的主机名或 IP 地址。
• -d：显示登录会话的详细信息，包括终端名称和登录/注销时间。
• -f：显示完整的用户名，包括域名。
• -n <number>：显示最后 <number> 次失败的登录尝试。
• -p：显示登录进程的 PID（进程 ID）。
• -R：反转输出顺序，优先显示最近的失败登录尝试。

让我们尝试一些这些选项：

## 显示最后 5 次失败的登录尝试及其详细信息
sudo lastb -d -n 5

## 显示带有主机名或 IP 地址的失败登录尝试
sudo lastb -a

## 反转输出顺序
sudo lastb -R

示例输出：

labex   tty1                         Fri Apr 14 12:34:56 2023 - Fri Apr 14 12:35:01 2023 (00:00)
root    tty1                         Fri Apr 14 12:33:51 2023 - Fri Apr 14 12:34:01 2023 (00:00)
labex   tty1                         Fri Apr 14 12:32:46 2023 - Fri Apr 14 12:33:01 2023 (00:00)
root    tty1                         Fri Apr 14 12:31:41 2023 - Fri Apr 14 12:32:01 2023 (00:00)
labex   tty1                         Fri Apr 14 12:30:36 2023 - Fri Apr 14 12:31:01 2023 (00:00)

输出显示了使用 lastb 命令的不同选项可以获取的各种信息。

使用 lastb 命令分析失败的登录尝试

在这最后一步中，我们将学习如何分析 lastb 命令提供的信息，以识别潜在的安全问题并监控系统上的用户活动。

首先，让我们生成一些额外的失败登录尝试，以便有更多数据可供分析：

## 模拟一些失败的登录尝试
for i in {1..5}; do
  sudo su - -c "echo 'wrong password' | su - labex"
done

现在，让我们使用 lastb 命令来分析失败的登录尝试：

## 显示最后 10 次失败的登录尝试
sudo lastb -n 10

示例输出：

labex   tty1                         Fri Apr 14 12:34:56 2023 - Fri Apr 14 12:35:01 2023 (00:00)
root    tty1                         Fri Apr 14 12:33:51 2023 - Fri Apr 14 12:34:01 2023 (00:00)
labex   tty1                         Fri Apr 14 12:32:46 2023 - Fri Apr 14 12:33:01 2023 (00:00)
root    tty1                         Fri Apr 14 12:31:41 2023 - Fri Apr 14 12:32:01 2023 (00:00)
labex   tty1                         Fri Apr 14 12:30:36 2023 - Fri Apr 14 12:31:01 2023 (00:00)
labex   tty1                         Fri Apr 14 12:29:31 2023 - Fri Apr 14 12:30:01 2023 (00:00)
root    tty1                         Fri Apr 14 12:28:26 2023 - Fri Apr 14 12:29:01 2023 (00:00)
labex   tty1                         Fri Apr 14 12:27:21 2023 - Fri Apr 14 12:28:01 2023 (00:00)
root    tty1                         Fri Apr 14 12:26:16 2023 - Fri Apr 14 12:27:01 2023 (00:00)
labex   tty1                         Fri Apr 14 12:25:11 2023 - Fri Apr 14 12:26:01 2023 (00:00)

从输出中可以看到，labex 和 root 用户都有多次失败的登录尝试。这可能表明存在安全漏洞或未经授权的系统访问尝试。

为了进一步分析失败的登录尝试，我们可以使用 lastb 命令的附加选项：

## 显示带有主机名或 IP 地址的失败登录尝试
sudo lastb -a

## 以相反的顺序显示失败的登录尝试
sudo lastb -R

通过分析 lastb 命令的输出，你可以识别失败的登录尝试模式，例如用户名、终端和尝试时间。这些信息可以帮助你采取适当的安全措施来保护系统。

总结

在本实验中，我们探索了 Linux 中 lastb 命令的用途和用法。lastb 命令用于显示系统上失败的登录尝试信息，这可以帮助系统管理员和安全专业人员识别潜在的安全威胁并监控用户活动。

我们学习了如何运行 lastb 命令来查看用户名、终端、登录时间和失败的登录尝试的持续时间。我们还探索了 lastb 命令的各种选项，例如显示远程主机的主机名或 IP 地址、登录会话的详细信息以及最后几次失败的登录尝试。这些功能为分析和调查系统上的安全事件提供了宝贵的信息。

Linux 命令速查表