原文地址：
linux下登录日志在下面的目录里：&cd /var/log&查看ssh用户的登录日志：&less secure&linux日志管理：&1. 日志简介&日志对于安全来说，非常重要，他记录了系统每天发生的各种各样的事情，你可以通过他来检查错误发生的原因，或者受到攻击时攻击者留下的痕迹。日志主要的功能有：审计和监测。他还可以实时的监测系统状态，监测和追踪侵入者等等。&在Linux系统中，有三个主要的日志子系统：&连接时间日志--由多个程序执行，把纪录写入到/var/log/wtmp和/var/run/utmp，login等程序更新wtmp和 utmp文件，使系统管理员能够跟踪谁在何时登录到系统。进程统计--由系统内核执行。当一个进程终止时，为每个进程往进程统计文件（pacct或acct）中写一个纪录。进程统计的目的是为系统中的基本服务提供命令使用统计。&错误日志--由syslogd（8）执行。各种系统守护进程、用户程序和内核通过syslog（3）向文件/var/log/messages报告值得注意的事件。另外有许多UNIX程序创建日志。像HTTP和FTP这样提供网络服务的服务器也保持详细的日志。 常用的日志文件如下：&access-log 纪录HTTP/web的传输&acct/pacct 纪录用户命令&aculog 纪录MODEM的活动&btmp 纪录失败的纪录&lastlog 纪录最近几次成功登录的事件和最后一次不成功的登录&messages 从syslog中记录信息（有的链接到syslog文件）&sudolog 纪录使用sudo发出的命令&sulog 纪录使用su命令的使用&syslog 从syslog中记录信息（通常链接到messages文件）&utmp 纪录当前登录的每个用户&wtmp 一个用户每次登录进入和退出时间的永久纪录&xferlog 纪录FTP会话&utmp、wtmp和lastlog日志文件是多数重用UNIX日志子系统的关键--保持用户登录进入和退出的纪录。有关当前登录用户的信息记录在文件utmp中；登录进入和退出纪录在文件wtmp中；最后一次登录文件可以用lastlog命令察看。数据交换、关机和重起也记录在wtmp文件中。所有的纪录都包含时间戳。这些文件（lastlog通常不大）在具有大量用户的系统中增长十分迅速。例如wtmp文件可以无限增长，除非定期截取。许多系统以一天或者一周为单位把wtmp配置成循环使用。它通常由cron运行的脚本来修改。这些脚本重新命名并循环使用wtmp文件。通常，wtmp在第一天结束后命名为wtmp.1；第二天后wtmp.1变为wtmp.2等等，直到wtmp. 7。&每次有一个用户登录时，login程序在文件lastlog中察看用户的UID。如果找到了，则把用户上次登录、退出时间和主机名写到标准输出中，然后login程序在lastlog中纪录新的登录时间。在新的lastlog纪录写入后，utmp文件打开并插入用户的utmp纪录。该纪录一直用到用户登录退出时删除。utmp文件被各种命令文件使用，包括who、w、users和finger。&下一步，login程序打开文件wtmp附加用户的utmp纪录。当用户登录退出时，具有更新时间戳的同一utmp纪录附加到文件中。wtmp文件被程序last和ac使用。&2. 具体命令&wtmp和utmp文件都是二进制文件，他们不能被诸如tail命令剪贴或合并（使用cat命令）。用户需要使用who、w、users、last和ac来使用这两个文件包含的信息。&who：who命令查询utmp文件并报告当前登录的每个用户。Who的缺省输出包括用户名、终端类型、登录日期及远程主机。例如：who（回车）显示&chyang pts/o Aug 18 15:06&ynguo pts/2 Aug 18 15:32&ynguo pts/3 Aug 18 13:55&lewis pts/4 Aug 18 13:35&ynguo pts/7 Aug 18 14:12&ylou pts/8 Aug 18 14:15&如果指明了wtmp文件名，则who命令查询所有以前的纪录。命令who /var/log/wtmp把报告自从wtmp文件创建或删改以来的每一次登录。&w：w命令查询utmp文件并显示当前系统中每个用户和它所运行的进程信息。例如：w（回车）显示：3:36pm up 1 day, 22:34, 6 users, load average: 0.23, 0.29, 0.27&USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT&chyang pts/0 202.38.68.242 3:06pm 2:04 0.08s 0.04s -bash&ynguo pts/2 202.38.79.47 3:32pm 0.00s 0.14s 0.05 w&lewis pts/3 202.38.64.233 1:55pm 30:39 0.27s 0.22s -bash&lewis pts/4 202.38.64.233 1:35pm 6.00s 4.03s 0.01s sh/home/users/&ynguo pts/7 simba.nic.ustc.e 2:12pm 0.00s 0.47s 0.24s telnet mail&ylou pts/8 202.38.64.235 2:15pm 1:09m 0.10s 0.04s -bash&users：users用单独的一行打印出当前登录的用户，每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话，那他的用户名把显示相同的次数。例如：users（回车）显示：chyang lewis lewis ylou ynguo ynguo&last：last命令往回搜索wtmp来显示自从文件第一次创建以来登录过的用户。例如：&chyang pts/9 202.38.68.242 Tue Aug 1 08:34 - 11:23 (02:49)&cfan pts/6 202.38.64.224 Tue Aug 1 08:33 - 08:48 (00:14)&chyang pts/4 202.38.68.242 Tue Aug 1 08:32 - 12:13 (03:40)&lewis pts/3 202.38.64.233 Tue Aug 1 08:06 - 11:09 (03:03)&lewis pts/2 202.38.64.233 Tue Aug 1 07:56 - 11:09 (03:12)&linux查看日志：&# cd /var/log&# less secure&或者&# less messages&最近登录的日志：&# last&
阅读(...) 评论()二次元同好交流新大陆
扫码下载App
汇聚2000万达人的兴趣社区下载即送20张免费照片冲印
扫码下载App
温馨提示！由于新浪微博认证机制调整，您的新浪微博帐号绑定已过期，请重新绑定！&&|&&
少壮不努力,老大搞IT
LOFTER精选
网易考拉推荐
用微信&&“扫一扫”
将文章分享到朋友圈。
用易信&&“扫一扫”
将文章分享到朋友圈。
用户名密码都正确却不能登录Linux服务器这是为什么呢？？最可能有以下几种：一、磁盘空间满了无法登录Linux服务器。重启服务器试试或者删掉一些不必要的文件。二、确实是密码忘记了，进入单用户模式改密码就行了。三、装有oracle 10G ，按文档要求修改vi /etc/pam.d/login添加下面语句&session required /lib/security/pam_limits.so后，本地用户不能登录系统；如下解决：vi&& /etc/pam.d/login里面的最后一行： “ sessionrequired /lib/security/pam_limits.so ”把它改成：sessionrequired /lib64/security/pam_limits.so 保存重启ok啦！&&linux下root无法登陆，一般有以下几种情况：&1、/etc/securetty 中规定了root可以从哪个tty设备登录，如果root登录不了，可以检查/etc/securetty文件，看看是否禁用了什么设备。如果发现被修改，可以将文件改回原来的样子。并且注意，如果修改了该文件，要保证该文件的权限模式为600，才能正常生效。正常的/etc/securetty文件内容：consolevc/1vc/2vc/3vc/4vc/5vc/6vc/7vc/8vc/9vc/10vc/11tty1tty2tty3tty4tty5tty6tty7tty8tty9tty10tty11&2、/etc/ssh/sshd_config文件中禁用root登录。如果sshd_config文件中有PermitRootLogin no这行，root就无法通过ssh登录。请改成PermitRootLogin yes，然后重启ssd。# /etc/init.d/sshd restart&3、使用了pam认证，pam配置中限制了root账号的登录。这种情况的可能性比较多，需要仔细检查/etc/pam.d/下以及/etc/security/下的配置文件是否有禁止root的设置。&4、/etc/passwd文件被修改。检查passwd文件中，root的uid是否为0，root的shell路径是否真实存在，总之root这行的每个设置要完全正常才行。（我就遇到过一种特殊情况，passwd文件的换行符变成了DOS格式，结果linux系统认为shell路径是/bin/bash^M，返回路径不存在错误，导致了root无法登录。所以还要保证passwd文件的换行符是unix格式。）&5、root无法登录Xwindows图形界面。检查/etc/pam.d/gdm，将auth required pam_succeed_if.so user != root quiet 这行注释掉。&此外，还有很多其他的情形会导致root无法登录。遇到root无法登录时，要看看是否ssh方式、控制台方式都无法登录。还有看看是否可以用其他账号登录，然后su成root，来进行修复。实在不行，再用单用户方式重启系统，或用光盘引导进入系统，来解除root的禁用(参考如何找回root密码)。如果是黑客禁用了root登录，还得检查/etc/passwd中是否有其他可疑的账号具有uid=0，以及/etc/sudoers中是否有可疑账号具有sudo权限，然后还得检查系统中是否有rootkit，sshd等系统文件是否被黑客替换等。&&&————————————————————————————————————————————————————&RHEL 5.4中的关于pam.d/login的设置，导致root在内的用户无法在控制台登录因为在redhat 5.4 的64位版的系统中安装oracle 10，所以在/etc/pam.d/login 中加入：&session & &required & &/lib/security/pam_limits.so&然而这样的话在64位LINUX上就可能会出现ROOT无法在控制台上登陆的情况。解决方法：在32位系统使用此配置for oracle :session & &required & &/lib/security/pam_limits.so上面的配置为某些文档和资料所载，但只适合32位系统&&而在64位系统上要使用此配置for oracle :session & &required & &/lib64/security/pam_limits.so&&建议配置：session & &required & &pam_limits.so转自：
阅读(639)|
用微信&&“扫一扫”
将文章分享到朋友圈。
用易信&&“扫一扫”
将文章分享到朋友圈。
历史上的今天
loftPermalink:'',
id:'fks_',
blogTitle:'本地终端突然无法登录Linux系统（普通用户,root都不行），但SSH可以',
blogAbstract:'RHEL5.6，装了oracle 10g，突然无法登录系统了，本地的所有用户都不行，包括root
{if x.moveFrom=='wap'}
{elseif x.moveFrom=='iphone'}
{elseif x.moveFrom=='android'}
{elseif x.moveFrom=='mobile'}
${a.selfIntro|escape}{if great260}${suplement}{/if}
{list a as x}
推荐过这篇日志的人：
{list a as x}
{if !!b&&b.length>0}
他们还推荐了：
{list b as y}
转载记录：
{list d as x}
{list a as x}
{list a as x}
{list a as x}
{list a as x}
{if x_index>4}{break}{/if}
${fn2(x.publishTime,'yyyy-MM-dd HH:mm:ss')}
{list a as x}
{if !!(blogDetail.preBlogPermalink)}
{if !!(blogDetail.nextBlogPermalink)}
{list a as x}
{if defined('newslist')&&newslist.length>0}
{list newslist as x}
{if x_index>7}{break}{/if}
{list a as x}
{var first_option =}
{list x.voteDetailList as voteToOption}
{if voteToOption==1}
{if first_option==false},{/if}&&“${b[voteToOption_index]}”&&
{if (x.role!="-1") },“我是${c[x.role]}”&&{/if}
&&&&&&&&${fn1(x.voteTime)}
{if x.userName==''}{/if}
网易公司版权所有&&
{list x.l as y}
{if defined('wl')}
{list wl as x}{/list}管理用SSH远程登录Linux服务器的用户的权限
作者：佚名
字体：[ ] 来源：互联网 时间：07-03 16:50:25
这篇文章主要介绍了管理用SSH远程登录Linux服务器的用户的权限,包括维护安全时禁止登录等方法,需要的朋友可以参考下
为了满足&break qiang&的需要，在国外的Linux主机上（比如 DreamHost ）上建个可 ssh登录的用户，使用 ssh 的 Tunnel 来作代理是十分常见的方法。
但是主人往往又想最小化用户权限，以避免对系统造成影响。最简单的办法就是，禁止用户登录。
其实 ssh 可以连接到 sshd 但是不执行远程命令（默认是启动用户设定的 shell ），使用 -N 参数即可。
在服务器上建一个 username ：添加用户：useradd -s /bin/false username，将用户的shell设置成/bin/false。这样用户就无法与系统进行交互。设置密码：passwd username
当然对已有的用户也可以更改用户权限为只能tcp转发：代码如下:usermod -s /bin/false USERNAME
也可以使用 /usr/bin/passwd 作为用户的 shell ，这样用户就可以通过登录而来自主修改密码。需要注意的是，需要将 /usr/bin/passwd 这一行写进 /etc/shells文件。sshd 认证通后之后，会检查设定的 shell 是否登记在 /etc/shells 文件中，若已经登记，则fork自己，然后fork出来的子进程再exec 设定的 shell 。而 ssh 的 -N 参数，则是告诉 sshd 不需要执行 shell。
建立Tunnel：
代码如下:ssh -D 1080 -qfnN username@hostname
输入密码即可使用（也可以用key认证）。
Windows的话，可以使用plink.exe或者MyEnTunnel（MyEnTunnel 本质上也是使用plink.exe来建立Tunnel）。
此时账号username 可以通过sshd的认证使用 TcpForwarding ，但是不能运行 shell，不能与系统交互。刚好可以用来为朋友提供国外的代理break qiang。
参数详解：-D 1080 建立动态Tunnel，监听在本地1080端口。-q 安静模式。-f ssh在后台运行，即认证之后，ssh退居后台。-n 将 stdio 重定向到 /dev/null，与-f配合使用。-N 不运行远程程序。即通知 sshd 不运行设定的 shell。
大家感兴趣的内容
12345678910
最近更新的内容}