怎么查看在centos中创建的用户组

用户列表文件：/etc/passwd

用户组列表文件：/etc/group

查看系统中有哪些用户：cut -d : -f 1 /etc/passwd

查看可以登录系统的用户：cat /etc/passwd | grep -v /sbin/nologin | cut -d : -f 1

查看用户 *** 作：w命令(需要root权限)

查看某一用户：w 用户名

查看登录用户：who

查看用户登录历史记录：last

保留、维护和分析日志(如某个特定时期内发生过的，或正在发生的帐号事件)，是Linux系统管理员最基础和最重要的任务之一。对于用户管理，检查用户的登入和登出日志(不管是失败的，还是成功的)可以让我们对任何潜在的安全隐患或未经授权使用系统的情况保持警惕。例如，工作时间之外或放假期间的来自未知IP地址或帐号的远程登录应当发出红色警报。 在CentOS系统上，用户登录历史存储在以下这些文件中： /var/run/utmp(用于记录当前打开的会话)被who和w工具用来记录当前有谁登录以及他们正在做什么，而uptime用来记录系统启动时间。 /var/log/wtmp (用于存储系统连接历史记录)被last工具用来记录最后登录的用户的列表。 /var/log/btmp(记录失败的登录尝试)被lastb工具用来记录最后失败的登录尝试的列表。在本文中，我将介绍如何使用utmpdump，这个小程序来自sysvinit-tools包，可以用于转储二进制日志文件到文本格式的文件以便检查。此工具默认在CentOS 6和7系列上可用。utmpdump收集到的信息比先前提到过的工具的输出要更全面，这让它成为一个胜任该工作的很不错的工具。除此之外，utmpdump可以用于修改utmp或wtmp。如果你想要修复二进制日志中的任何损坏条目，它会很有用(LCTT 译注：我怎么觉得这像是做坏事的前奏?)。 Utmpdump的使用及其输出说明 正如我们之前提到的，这些日志文件，与我们大多数人熟悉的其它日志相比(如/var/log/messages，/var/log/cron，/var/log/maillog)，是以二进制格式存储的，因而我们不能使用像less或more这样的文件命令来查看它们的内容。所以，utmpdump的出现拯救了世界。 为了要显示/var/run/utmp的内容，请运行以下命令： 代码如下: # utmpdump /var/run/utmp同样要显示/var/log/wtmp的内容： 代码如下: # utmpdump /var/log/wtmp tail -15[code] 最后，对于/var/log/btmp： [code]# utmpdump /var/log/btmp正如你所能看到的，三种情况下的输出结果是一样的，除了utmp和btmp的记录是按时间排序，而wtmp的顺序是颠倒的这个原因外(LCTT 译注：此处原文有误，实际上都是按照时间顺序排列的)。 每个日志行格式化成了多列，说明如下。第一个字段显示了会话识别符，而第二个字段则是PID。第三个字段可以是以下值：--(表示运行等级改变或系统重启)，bw(启动守候进程)，数字(表示TTY编号)，或者字符和数字(表示伪终端)。第四个字段可以为空或用户名、重启或运行级别。第五个字段是主TTY或PTY(伪终端)，如果此信息可获得的话。第六个字段是远程主机名(如果是本地登录，该字段为空，运行级别信息除外，它会返回内核版本)。第七个字段是远程系统的IP地址(如果是本地登录，该字段为0.0.0.0)。如果没有提供DNS解析，第六和第七字段会显示相同的信息(远程系统的IP地址)。最后一个(第八)字段指明了该记录创建的日期和时间。 Utmpdump使用样例 下面提供了一些utmpdump的简单使用情况。 1、 检查8月18日到9月17日之间某个特定用户(如gacanepa)的登录次数。 代码如下: # utmpdump /var/log/wtmp grep gacanepa如果你需要回顾先前日期的登录信息，你可以检查/var/log下的wtmp-YYYYMMDD(或wtmp.[1...N])和btmp-YYYYMMDD(或btmp.[1...N])文件，这些是由logrotate生成的旧wtmp和btmp的归档文件。 2、 统计来自IP地址192.168.0.101的登录次数。 代码如下: # utmpdump /var/log/wtmp grep 192.168.0.1013、 显示失败的登录尝试。 代码如下: # utmpdump /var/log/btmp在/var/log/btmp输出中，每个日志行都与一个失败的登录尝试相关(如使用不正确的密码，或者一个不存在的用户ID)。上面图片中高亮部分显示了使用不存在的用户ID登录，这警告你有人尝试猜测常用帐号名来闯入系统。这在使用tty1的情况下是个极其严重的问题，因为这意味着某人对你机器上的终端具有访问权限(该检查一下谁拿到了进入你数据中心的钥匙了，也许吧?) 4、 显示每个用户会话的登入和登出信息 代码如下: # utmpdump /var/log/wtmp在/var/logwtmp中，一次新的登录事件的特征是，第一个字段为‘7’，第三个字段是一个终端编号(或伪终端id)，第四个字段为用户名。相关的登出事件会在第一个字段显示‘8’，第二个字段显示与登录一样的PID，而终端编号字段空白。例如，仔细观察上面图片中PID 1463的行。 在 [Fri Sep 19 11:57:40 2014 ART]，TTY1上显示登录提示符。 在 [Fri Sep 19 12:04:21 2014 ART]，用户 root 登入。 在 [Fri Sep 19 12:07:24 2014 ART]，用户 root 登出。 旁注：第四个字段的LOGIN意味着出现了一次登录到第五字段指定的终端的提示。 到目前为止，我介绍一些有点琐碎的例子。你可以将utmpdump和其它一些文本处理工具，如awk、sed、grep或cut组合，来产生过滤和加强的输出。 例如，你可以使用以下命令来列出某个特定用户(如gacanepa)的所有登录事件，并发送输出结果到.csv文件，它可以用像LibreOffice Calc或Microsoft Excel之类的文字或工作簿应用程序打开查看。让我们只显示PID、用户名、IP地址和时间戳： 代码如下: # utmpdump /var/log/wtmp grep -E "[7].*gacanepa" awk -v OFS="," 'BEGIN {FS="] "}{print $2,$4,$7,$8}' sed -e 's/[//g' -e 's/]//g'就像上面图片中三个高亮区域描绘的那样，过滤逻辑 *** 作是由三个管道步骤组成的。第一步用于查找由用户gacanepa触发的登录事件([7])第二步和第三部用于选择期望的字段，移除utmpdump输出的方括号并设置输出字段分隔符为逗号。 当然，如果你想要在以后打开来看，你需要重定向上面的命令输出到文件(添加“>[文件名].csv”到命令后面)。在更为复杂的例子中，如果你想要知道在特定时间内哪些用户(在/etc/passwd中列出)没有登录，你可以从/etc/passwd中提取用户名，然后运行grep命令来获取/var/log/wtmp输出中对应用户的列表。就像你看到的那样，有着无限可能。 在进行总结之前，让我们简要地展示一下utmpdump的另外一种使用情况：修改utmp或wtmp。由于这些都是二进制日志文件，你不能像编辑文件一样来编辑它们。取而代之是，你可以将其内容输出成为文本格式，并修改文本输出内容，然后将修改后的内容导入回二进制日志中。如下： 代码如下: # utmpdump /var/log/utmp >tmp_output <使用文本编辑器修改 tmp_output> # utmpdump -r tmp_output >/var/log/utmp 这在你想要移除或修复二进制日志中的任何伪造条目时很有用。 下面小结一下，utmpdump从utmp、wtmp和btmp日志文件或轮循的旧归档文件来读取详细的登录事件，来补充如who，w，uptime，last，lastb之类的标准工具的不足，这也使得它成为一个很棒的工具。

作为系统管理员，你可能经常会（在某个时候）需要查看系统中有哪些用户正在活动。有些时候，你甚至需要知道他（她）们正在做什么。本文为我们总结了4种查看系统用户信息（通过编号（ID））的方法。

1. 使用w命令查看登录用户正在使用的进程信息

w命令用于显示已经登录系统的用户的名称，以及他们正在做的事。该命令所使用的信息来源于/var/run/utmp文件。w命令输出的信息包括：

用户名称

用户的机器名称或tty号

远程主机地址

用户登录系统的时间

空闲时间（作用不大）

附加到tty（终端）的进程所用的时间（JCPU时间）

当前进程所用时间（PCPU时间）

用户当前正在使用的命令

w命令还可以使用以下选项

-h忽略头文件信息

-u显示结果的加载时间

-s不显示JCPU， PCPU， 登录时间

$ w

23:04:27 up 29 days, 7:51, 3 users, load average: 0.04, 0.06, 0.02

USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT

ramesh pts/0 dev-db-server 22:57 8.00s 0.05s 0.01s sshd: ramesh [priv]

jason pts/1 dev-db-server 23:01 2:53 0.01s 0.01s -bash

john pts/2 dev-db-server 23:04 0.00s 0.00s 0.00s w

$ w -h

ramesh pts/0 dev-db-server 22:57 17:43 2.52s 0.01s sshd: ramesh [priv]

jason pts/1 dev-db-server 23:01 20:28 0.01s 0.01s -bash

john pts/2 dev-db-server 23:04 0.00s 0.03s 0.00s w -h

$ w -u

23:22:06 up 29 days, 8:08, 3 users, load average: 0.00, 0.00, 0.00

USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT

ramesh pts/0 dev-db-server 22:57 17:47 2.52s 2.49s top

jason pts/1 dev-db-server 23:01 20:32 0.01s 0.01s -bash

john pts/2 dev-db-server 23:04 0.00s 0.03s 0.00s w -u

$ w -s

23:22:10 up 29 days, 8:08, 3 users, load average: 0.00, 0.00, 0.00

USER TTY FROM IDLE WHAT

ramesh pts/0 dev-db-server 17:51 sshd: ramesh [priv]

jason pts/1 dev-db-server 20:36 -bash

john pts/2 dev-db-server 1.00s w -s

2.使用who命令查看（登录）用户名称及所启动的进程

who命令用于列举出当前已登录系统的用户名称。其输出为：用户名、tty号、时间日期、主机地址。

$ who

ramesh pts/0 2009-03-28 22:57 (dev-db-server)

jason pts/1 2009-03-28 23:01 (dev-db-server)

john pts/2 2009-03-28 23:04 (dev-db-server)

如果只希望列出用户，可以使用如下语句：

$ **who | cut -d' ' -f1 | sort | uniq

**john

jason

ramesh

补充 ：users命令，可用于打印输出登录服务器的用户名称。该命令除了有help和version选项外，再没有其他选项。如果某用户使用了多个终端，则相应的会显示多个重复的用户名。

$ users

john

jason

ramesh

**3. **使用whoami命令查看你所使用的登录名称

whoami命令用于显示登入的用户名。

$ whoami

john

whoami命令的执行效果和id -un的效果完全一样，例如：

$ id -un

john

whoami命令能显示当前登入的用户名称，以及当前所使用的tty信息。该命令的输出结果包括如下内容：用户名、tty名、当前时间日期，同时还包括用户登录系统所使用的链接地址。

$ who am i

john pts/2 2009-03-28 23:04 (dev-db-server)

$ who mom likes

john pts/2 2009-03-28 23:04 (dev-db-server) Warning:

Don't try " who mom hates " command.

当然，如果你使用su命令改变用户，则该命令（whoami）所显示的结果将随之改变。

4. 随时查看系统的历史信息（曾经使用过系统的用户信息）

last命令可用于显示特定用户登录系统的历史记录。如果没有指定任何参数，则显示所有用户的历史信息。在默认情况下，这些信息（所显示的信息）将来源于/var/log/wtmp文件。该命令的输出结果包含以下几列信息：

用户名称

tty设备号

历史登录时间日期

登出时间日期

总工作时间

$ last jason

jason pts/0 dev-db-server Fri Mar 27 22:57 still logged in

jason pts/0 dev-db-server Fri Mar 27 22:09 - 22:54 (00:45)

jason pts/0 dev-db-server Wed Mar 25 19:58 - 22:26 (02:28)

jason pts/1 dev-db-server Mon Mar 16 20:10 - 21:44 (01:33)

jason pts/0 192.168.201.11 Fri Mar 13 08:35 - 16:46 (08:11)

jason pts/1 192.168.201.12 Thu Mar 12 09:03 - 09:19 (00:15)

jason pts/0 dev-db-server Wed Mar 11 20:11 - 20:50 (00:39

转自： http://blog.csdn.net/newdriver2783/article/details/8059368

---