需要在Linux系统下设置通过登陆IP地址来记录所有用户登录所 *** 作的历史 *** 作,具体 *** 作就是在/etc/profile配置文件的末尾加入以下脚本代码来实现:
[root@server ~]# cat >>/etc/profile<< EOF>
> history
>
> USER=`whoami`
>
> USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`
>
> if [ "$USER_IP" = "" ] then
> USER_IP=`hostname`
> fi
>
> if [ ! -d /tmp/history ] then
> mkdir /tmp/history
> chmod 777 /tmp/history
> fi
>
> if [ ! -d /tmp/history/${LOGNAME} ] then
> mkdir /tmp/history/${LOGNAME}
> chmod 300 /tmp/history/${LOGNAME}
> fi
>
> export HISTSIZE=4096
>
> DT=`date +"%Y-%m-%d_%H:%M:%S"`
>
> export HISTFILE="/tmp/history/${LOGNAME}/${USER}@${USER_IP}_history.$DT"
>
> chmod 600 /tmp/history/${LOGNAME}/*history* 2>/dev/null
>
> EOF
[root@server ~]# source /etc/profile
[root@server ~]# logout
# 此时需要退出系统再重新登录,在/tmp/history/目录下才有记录
通过上面的脚本代码在系统的/tmp下就新建了个history目录(这个目录可以自定义),在目录中记录了所有的登陆过系统的用户和IP地址,然后进入/tmp/history目录查看历史记录:
[root@server ~]# cd /tmp[root@server tmp]# ll
总计 24
drwx------ 2 root root 4096 2012-10-11 gconfd-root
drwxrwxrwx 3 root root 4096 2012-10-11 history
drwx------ 2 root root 4096 08-11 01:11 keyring-Ki8IOJ
srwxr-xr-x 1 root root 0 2012-10-11 mapping-root
srw------- 1 root root 0 2012-10-11 scim-panel-socket:0-root
drwx------ 2 root root 4096 2012-10-11 ssh-jPPigl3182
drwx------ 2 root root 4096 10-10 21:16 ssh-KDmPtr3350
[root@server tmp]# cd history/
[root@server history]# ll
总计 4
d-wx------ 2 root root 4096 10-10 21:16 root
[root@server history]# cd root/
[root@server root]# ll
总计 4
-rw------- 1 root root 37 10-10 21:16 [email protected]_history.2012-10-10_21:16:42
#此时就在记录中可以查看到用户名和IP地址,对Linux系统 *** 作的命令和时间。
1. 使用w命令查看登录用户正在使用的进程信息w命令用于显示已经登录系统的用户的名称,以及他们正在做的事。该命令所使用的信息来源于/var/run/utmp文件。w命令输出的信息包括:用户名称用户的机器名称或tty号远程主机地址用户登录系统的时间空闲时间(作用不大)附加到tty(终端)的进程所用的时间(JCPU时间)当前进程所用时间(PCPU时间)用户当前正在使用的命令w命令还可以使用以下选项-h忽略头文件信息-u显示结果的加载时间-s不显示JCPU, PCPU, 登录时间$ w 23:04:27 up 29 days, 7:51, 3 users, load average: 0.04, 0.06, 0.02USER TTY FROM LOGIN@ IDLE JCPU PCPU WHATramesh pts/0dev-db-server22:578.00s 0.05s 0.01s sshd: ramesh [priv]jasonpts/1dev-db-server23:012:53 0.01s 0.01s -bashjohn pts/2dev-db-server23:040.00s 0.00s 0.00s w $ w -h ramesh pts/0dev-db-server22:57 17:43 2.52s 0.01s sshd: ramesh [priv]jasonpts/1dev-db-server23:01 20:28 0.01s 0.01s -bashjohn pts/2dev-db-server23:040.00s 0.03s 0.00s w -h$ w -u 23:22:06 up 29 days, 8:08, 3 users, load average: 0.00, 0.00, 0.00USER TTY FROM LOGIN@ IDLE JCPU PCPU WHATramesh pts/0dev-db-server22:57 17:47 2.52s 2.49s topjasonpts/1dev-db-server23:01 20:32 0.01s 0.01s -bashjohn pts/2dev-db-server23:040.00s 0.03s 0.00s w -u$ w -s 23:22:10 up 29 days, 8:08, 3 users, load average: 0.00, 0.00, 0.00USER TTY FROM IDLE WHATramesh pts/0dev-db-server17:51 sshd: ramesh [priv]jasonpts/1dev-db-server20:36 -bashjohn pts/2dev-db-server 1.00s w -s2.使用who命令查看(登录)用户名称及所启动的进程who命令用于列举出当前已登录系统的用户名称。其输出为:用户名、tty号、时间日期、主机地址。$ who ramesh pts/02009-03-28 22:57 (dev-db-server)jason pts/12009-03-28 23:01 (dev-db-server)john pts/22009-03-28 23:04 (dev-db-server)如果只希望列出用户,可以使用如下语句:$ who cut -d' ' -f1 sort uniq johnjasonramesh补充:users命令,可用于打印输出登录服务器的用户名称。该命令除了有help和version选项外,再没有其他选项。如果某用户使用了多个终端,则相应的会显示多个重复的用户名。$ users john jason ramesh3. 使用whoami命令查看你所使用的登录名称whoami命令用于显示登入的用户名。$ whoami johnwhoami命令的执行效果和id -un的效果完全一样,例如:$ id -un johnwhoami命令能显示当前登入的用户名称,以及当前所使用的tty信息。该命令的输出结果包括如下内容:用户名、tty名、当前时间日期,同时还包括用户登录系统所使用的链接地址。$ who am i john pts/22009-03-28 23:04 (dev-db-server)$ who mom likes john pts/22009-03-28 23:04 (dev-db-server) Warning: Don't try "who mom hates" command.当然,如果你使用su命令改变用户,则该命令(whoami)所显示的结果将随之改变。4. 随时查看系统的历史信息(曾经使用过系统的用户信息)last命令可用于显示特定用户登录系统的历史记录。如果没有指定任何参数,则显示所有用户的历史信息。在默认情况下,这些信息(所显示的信息)将来源于/var/log/wtmp文件。该命令的输出结果包含以下几列信息:用户名称tty设备号历史登录时间日期登出时间日期总工作时间$ last jason jason pts/0dev-db-server Fri Mar 27 22:57 still logged injason pts/0dev-db-server Fri Mar 27 22:09 - 22:54 (00:45)jason pts/0dev-db-server Wed Mar 25 19:58 - 22:26 (02:28)jason pts/1dev-db-server Mon Mar 16 20:10 - 21:44 (01:33)jason pts/0192.168.201.11 Fri Mar 13 08:35 - 16:46 (08:11)jason pts/1192.168.201.12 Thu Mar 12 09:03 - 09:19 (00:15)jason pts/0dev-db-server Wed Mar 11 20:11 - 20:50 (00:39)欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)