如何查看linux上可以ssh登录的所有用户信息

linux下怎么查看ssh的用户登录日志~

您好，很高兴为您解答。

linux下登录日志在下面的目录里：
cd /var/log
查看ssh用户的登录日志：
less secure
linux日志管理：

1. 日志简介

日志对于安全来说，非常重要，他记录了系统每天发生的各种各样的事情，你可以通过他来检查错误发生的原因，或者受到攻击时攻击者留下的痕迹。日志主要的功能有：审计和监测。他还可以实时的监测系统状态，监测和追踪侵入者等等。

在Linux系统中，有三个主要的日志子系统：

连接时间日志--由多个程序执行，把纪录写入到/var/log/wtmp和/var/run/utmp，login等程序更新wtmp和 utmp文件，使系统管理员能够跟踪谁在何时登录到系统。进程统计--由系统内核执行。当一个进程终止时，为每个进程往进程统计文件（pacct或acct）中写一个纪录。进程统计的目的是为系统中的基本服务提供命令使用统计。

错误日志--由syslogd（8）执行。各种系统守护进程、用户程序和内核通过syslog（3）向文件/var/log/messages报告值得注意的事件。另外有许多UNIX程序创建日志。像HTTP和FTP这样提供网络服务的服务器也保持详细的日志。 常用的日志文件如下：


access-log 纪录HTTP/web的传输
acct/pacct 纪录用户命令
aculog 纪录MODEM的活动
btmp 纪录失败的纪录
lastlog 纪录最近几次成功登录的事件和最后一次不成功的登录
messages 从syslog中记录信息（有的链接到syslog文件）
sudolog 纪录使用sudo发出的命令
sulog 纪录使用su命令的使用
syslog 从syslog中记录信息（通常链接到messages文件）
utmp 纪录当前登录的每个用户
wtmp 一个用户每次登录进入和退出时间的永久纪录
xferlog 纪录FTP会话

utmp、wtmp和lastlog日志文件是多数重用UNIX日志子系统的关键--保持用户登录进入和退出的纪录。有关当前登录用户的信息记录在文件utmp中；登录进入和退出纪录在文件wtmp中；最后一次登录文件可以用lastlog命令察看。数据交换、关机和重起也记录在wtmp文件中。所有的纪录都包含时间戳。这些文件（lastlog通常不大）在具有大量用户的系统中增长十分迅速。例如wtmp文件可以无限增长，除非定期截取。许多系统以一天或者一周为单位把wtmp配置成循环使用。它通常由cron运行的脚本来修改。这些脚本重新命名并循环使用wtmp文件。通常，wtmp在第一天结束后命名为wtmp.1；第二天后wtmp.1变为wtmp.2等等，直到wtmp. 7。

每次有一个用户登录时，login程序在文件lastlog中察看用户的UID。如果找到了，则把用户上次登录、退出时间和主机名写到标准输出中，然后login程序在lastlog中纪录新的登录时间。在新的lastlog纪录写入后，utmp文件打开并插入用户的utmp纪录。该纪录一直用到用户登录退出时删除。utmp文件被各种命令文件使用，包括who、w、users和finger。

下一步，login程序打开文件wtmp附加用户的utmp纪录。当用户登录退出时，具有更新时间戳的同一utmp纪录附加到文件中。wtmp文件被程序last和ac使用。

2. 具体命令

wtmp和utmp文件都是二进制文件，他们不能被诸如tail命令剪贴或合并（使用cat命令）。用户需要使用who、w、users、last和ac来使用这两个文件包含的信息。

who：who命令查询utmp文件并报告当前登录的每个用户。Who的缺省输出包括用户名、终端类型、登录日期及远程主机。例如：who（回车）显示

chyang pts/o Aug 18 15:06
ynguo pts/2 Aug 18 15:32
ynguo pts/3 Aug 18 13:55
lewis pts/4 Aug 18 13:35
ynguo pts/7 Aug 18 14:12
ylou pts/8 Aug 18 14:15

如果指明了wtmp文件名，则who命令查询所有以前的纪录。命令who /var/log/wtmp把报告自从wtmp文件创建或删改以来的每一次登录。

w：w命令查询utmp文件并显示当前系统中每个用户和它所运行的进程信息。例如：w（回车）显示：3:36pm up 1 day, 22:34, 6 users, load average: 0.23, 0.29, 0.27

USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
chyang pts/0 202.38.68.242 3:06pm 2:04 0.08s 0.04s -bash
ynguo pts/2 202.38.79.47 3:32pm 0.00s 0.14s 0.05 w
lewis pts/3 202.38.64.233 1:55pm 30:39 0.27s 0.22s -bash
lewis pts/4 202.38.64.233 1:35pm 6.00s 4.03s 0.01s sh/home/users/
ynguo pts/7 simba.nic.ustc.e 2:12pm 0.00s 0.47s 0.24s telnet mail
ylou pts/8 202.38.64.235 2:15pm 1:09m 0.10s 0.04s -bash

users：users用单独的一行打印出当前登录的用户，每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话，那他的用户名把显示相同的次数。例如：users（回车）显示：chyang lewis lewis ylou ynguo ynguo

last：last命令往回搜索wtmp来显示自从文件第一次创建以来登录过的用户。例如：
chyang pts/9 202.38.68.242 Tue Aug 1 08:34 - 11:23 (02:49)
cfan pts/6 202.38.64.224 Tue Aug 1 08:33 - 08:48 (00:14)
chyang pts/4 202.38.68.242 Tue Aug 1 08:32 - 12:13 (03:40)
lewis pts/3 202.38.64.233 Tue Aug 1 08:06 - 11:09 (03:03)
lewis pts/2 202.38.64.233 Tue Aug 1 07:56 - 11:09 (03:12)


linux查看日志：
# cd /var/log
# less secure
或者
# less messages
最近登录的日志：
# last

如若满意，请点击右侧【采纳答案】，如若还有问题，请点击【追问】

希望我的回答对您有所帮助，望采纳！

~ O(∩_∩)O~

who命令

who：who命令查询utmp文件并报告当前登录的每个用户。Who的缺省输出包括用户名、终端类型、登录日期及远程主机。例如：who（回车）显示

chyang pts/o Aug 18 15:06

netstat -an|grep :22
查看22端口的建立的连接信息.

如果想看用户,输入who即可.

# cat /etc/passwd
默认情况下 用户名后跟/bin/fause /sbin/nologin都不可以ssh登录 /bin/bash /bin/sh之类的可以登录
如果是查看即使登录用w或者who命令

$ sudo w

---

谯城区17658171809： 怎么检查LINUX有没有开启SSH服务 - ？
文锦结核： 检查Linux系统是否有开启SSH服务,可以使用如下命令: netstat -anltp|grep ssh注:如果确认有相关进程信息,那就是SSH了

谯城区17658171809： 如何查看linux 是否有ssh登录权限 - ？
文锦结核： 一般地在/var/log/secure可以看到登陆的情况 在/var/log/btmp中可以查看到登陆失败的记录(可通过lastb命令进行检查) 在/var/log/lastlog中可以查看最近登陆的记录 (可通过last命令进行检查) 也可通过who检查当前在线用户如果在ssh的配置文件里(一般在/etc/ssh/sshd_config)和syslog配置文件中对日志文件做过定制的话那么需要根据具体情况定位日志文件

谯城区17658171809： 如何查看linux机器的ssh - ？
文锦结核： 11.登陆linux系统,打开终端命令.输入 rpm -qa |grep ssh 查找当前系统是否已经安装 步骤阅读22.如果没有安装SSH软件包,可以通过yum 或rpm安装包进行安装(具体就不截图了)

谯城区17658171809： 如何查看linux防火墙开启ssh - ？
文锦结核： 一、基本查看命令 chkconfig命令只是查看和设置服务的自动启动情况,并不能反映当前服务的状态.二、服务查看方式 service iptables status可以查看到iptables服务的当前状态 但是即使服务运行了,防火墙也不一定起作用,你还得看防火墙规则的设置 iptables -L 上述命令的返回值如果显示没有防火墙规则,那就是不起作用;反之就是防火墙在起作用.三、查看服务状态 iptables 0:关闭 1:关闭 2:启用 3:启用 4:启用 5:启用 6:关闭

谯城区17658171809： linux上如何查看当前主机可ssh跳转的主机? - ？
文锦结核： 可以使用nmap命令进行端口扫描,看是否又其他主机开启22端口.

谯城区17658171809： 我想是检查一下linux系统是否支持ssh 如果支持,开通怎么做, 如果不支持,我需要怎么去做,才能开通! - ？
文锦结核： 请问你是什么发行版的系统?redhat fedora ubuntu? 你可以用命令which ssh 查看是否安装ssh服务. 如果你是redhat或者fedora系统,如果没有的话就是系统没装,你可以下载rpm包用rpm -ivh ***.rpm 命令安装.如果能上网的话,用yum install ...

谯城区17658171809： 如何看linux某个用户可以远程登录 - ？
文锦结核： 1创建账户,命令 useradd 用户名,如:useradd zhangsan 2修改密码,命令 passwd 用户名,如:passwd zhangsan 3设置允许远程登录,linux一般都通过ssh远程连接,修改/etc/ssh/sshd_config文件 在结尾处添加 AllowUsers 用户名

谯城区17658171809： 如何将本地linux电脑设置可ssh登入 - ？
文锦结核： 查询\安装SSH服务11.登陆linux系统,打开终端命令.输入 rpm -qa |grep ssh 查找当前系统是否已经安装22.如果没有安装SSH软件包,可以通过yum 或rpm安装包进行安装(具体就不截图了) END 启动SSH服务21 安装好了之后,就开启ssh服...

谯城区17658171809： 如何在Linux上检查SSH的版本 - ？
文锦结核： 查看ssh软件版本命令:#ssh -V 如果查看使用协议版本:检查本地OpenSSH服务器支持的SSH协议版本,你可以参考/etc/ssh/sshd_config这个文件.用文本编辑器打开/etc/ssh/sshd_config,并且查看“Protocol”字段.如果如下显示,就代表服务器只支持SSH2.Protocol 2如果如下显示,就代表服务器同时支持SSH1和SSH2.Protocol 1,2

谯城区17658171809： linux系统怎么查看ssh的状态 - ？
文锦结核： /etc/init.d/sshd status