Linux上的登录历史：轻松追踪用户操作记录 (linux 登录操作历史记录)

在一个Linux系统中，多人共同使用同一个账户，比如说一个服务器上的运维人员，会有很多人同时登录到同一个root账号，往往我们不知道这些人都做了什么，这就造成了很大的安全风险和管理困难。

为了解决这个问题，Linux系统提供了登录历史功能，记录了登录信息，包括用户名称，登录IP地址，登录时间以及登录方式等等详细信息。这个功能可以帮助管理员轻松追踪用户操作记录，区分出哪些是正常操作，哪些是异常操作。

1. 查看登录历史

Linux系统内建了一个命令“last”，它可以查询当前系统的登录历史记录，这个命令只能查询到本地登录的记录，无法查询远程登录的历史记录。

例如，在终端输入“last”：

[root@localhost ~]# last

root pts/1 192.168.0.200 Fri Mar 11 15:46 still logged in

root pts/1 192.168.0.200 Wed Mar 9 13:46 – 15:24 (01:37)

root pts/0 192.168.0.200 Mon Mar 7 10:37 – 11:45 (01:07)

reboot system boot 2.6.32-431.el6.x Thu Mar 3 09:38 – 11:50 (8+02:11)

root tty1 Thu Mar 3 08:56 – down (34:03)

reboot system boot 2.6.32-431.el6.x Thu Mar 3 08:24 – 09:38 (00:53)

root tty1 Thu Mar 3 08:23 – down (00:01)

last命令默认显示了最近的所有用户登录信息，包括用户名、登录IP、终端号、登录时间以及登录类型。

2. 跟踪日志

last命令默认读取/var/log/wtmp这个记录所有用户登录和注销信息的日志文件。可以手动查看这个文件，并根据需要筛选出特定的日志信息，以便深入分析到特定的事件和更详细的日志信息。

例如，下面是我们查看wtmp日志文件：

[root@localhost ~]# last -f /var/log/wtmp

root pts/1 192.168.0.200 Fri Mar 11 15:46 still logged in

root pts/1 192.168.0.200 Wed Mar 9 13:46 – 15:24 (01:37)

root pts/0 192.168.0.200 Mon Mar 7 10:37 – 11:45 (01:07)

reboot system boot 2.6.32-431.el6.x Thu Mar 3 09:38 – 11:50 (8+02:11)

root tty1 Thu Mar 3 08:56 – down (34:03)

reboot system boot 2.6.32-431.el6.x Thu Mar 3 08:24 – 09:38 (00:53)

root tty1 Thu Mar 3 08:23 – down (00:01)

3. 加强日志安全

为了保护日志的安全，可以使用logrotate重新生成日志，避免文件太大，也可以限制访问权限，只允许管理员访问。

4. 使用Audit日志功能

除了直接使用Linux系统自带的日志功能，还可以使用Audit日志功能，通过配置审计规则记录任何对系统的访问，包括系统管理员，用户，甚至是恶意黑客的任何动作。有了Audit日志功能，不仅能够记录系统特权访问活动，还能记录所有普通账户的活动，设定了非常严格的审计规则，也许能在最短时间内定位不当操作方。

Linux上的登录历史功能非常实用，它能够帮助管理员更好地管理服务器和用户，并且保护服务器的安全性。管理员可以根据系统获取的日志记录来追踪用户的活动情况，及时发现异常操作，从而加强系统的安全性和防范能力。