在Linux下检查用户行为不仅是网络管理员的事情,也是开发者应该具备的基本技能之一。为什么?因为有时候其他同事在做一些比较耗资源的事情,比如编译大型程序,可能会导致服务器变得很慢,从而影响我们的正常运行。这时候我们就可以用本文介绍的方法找到那个同事,痛打一顿,恢复服务器的正常使用。我是谁?“我是谁?我从哪里来?我要去哪里?”哲学经典中的三大问题。同样,在工作中,有时我们经常切换账号,有时又忘记切换到哪个用户。这时候就需要知道当前登录的用户是谁。我们可以使用whoami来查看。[alvin@VM_0_16_centos~]$whoamialvin当前登录系统?一个公司通常只有几台服务器,程序员一般都在这几台服务器上工作。我们可以使用who命令来查看当前有哪些用户登录了服务器。[alvin@VM_0_16_centos~]$whoalvinpts/02018-12-0907:25(116.199.***.***)rootpts/12018-12-0911:05(116.199.***.***)alvinpts/22018-12-0911:05(116.199.***.***)harrypts/32018-12-0911:06(116.199.***.***)katepts/42018-12-0911:08(116.199.***.***)alvinpts/52018-12-0911:53(116.199.***.***)在显示的结果中,第一列是用户名;第二列是连接的终端,tty表示监视器,pts表示远程连接;第三列是登录时间。这里有更多的信息,但是如果我们只想知道谁在线呢?只需使用users命令检查即可。[alvin@VM_0_16_centos~]$usersalvinalvinalvinharrykateroot登录系统的那些人在做什么?知道谁登录了系统可以让我们进一步调查他们在做什么。w命令用于显示已经登录系统的用户名以及他们正在做什么。此命令使用的信息来自/var/run/utmp文件。[alvin@VM_0_16_centos~]$w16:25:54up29days,6:05,6users,loadaverage:0.00,0.01,0.05USERTTYFROMLOGIN@IDLEJCPUPCPUWHATalvinpts/0116.199.***.**07:252.00s0.11s0.00swrootpts/1116.199.***.**11:055:20m0.02s0.02s-bashalvinpts/2116.199.***.**11:055:20m0.04s0.05ssshd:alvin[priv]harrypts/3116.199.***.**11:064:33m18.08s18.06swatchdatekatepts/4116.199.***.**11:084:33m10.51s10.48stopalvinpts/5116.199.***.**11:534:32m0.02s0.02s-bash的第一行其实和uptime命令的结果一样,反过来指示:当前时间、系统运行时间、当前登录系统的用户数、平均负载。从第二行开始形成一个表格,一共8列,分别显示每个用户在做什么,以及该用户占用的系统资源。USER:显示登录用户帐户名。如果用户重复登录,该账号也会重复出现。TTY:用户登录所使用的终端。FROM:显示用户登录系统的位置。LOGIN@:表示LOGINAT,表示登录系统的时间。IDLE:用户空闲时间,从用户上一个任务结束算起。JCPU:以终端代号区分,表示一定时间内与该终端相关的所有进程任务消耗的CPU时间。PCPU:指WHAT域中的任务执行完毕后消耗的CPU时间。WHAT:表示当前正在执行的任务。如果我们只想查看某个用户当前的行为,可以直接在w后面加上用户名:[alvin@VM_0_16_centos~]$walvin16:34:21up29days,6:14,6users,平均负载:0.00、0.01、0.05USERTTYFROMLOGIN@IDLEJCPUPCPUWHATalvinpts/0116.199.***.**07:255.00s0.12s0.06ssshd:alvin[priv]alvinpts/2116.199.***.**11:055:28m0.04s0.05ssshd:alvin[priv]alvinpts/5116.199.***.**11:534:40m0.02s0.02s-bash如何知道信息当前和过去登录系统的用户?有些人比较狡猾,干了坏事不肯承认。但是,在Linux中,每个用户的登录信息都被记录下来,这样寻找相关人员的责任就有了依据。最后一个命令可用于显示特定用户登录系统的历史记录。如果不指定参数,将显示所有用户历史信息。默认情况下,这些消息(显示的消息)将来自/var/log/wtmp文件。该命令的输出包含以下列信息:用户名tty设备号历史登录时间date注销时间date总工作时间[alvin@VM_0_16_centos~]$lastalvinpts/5116.199.***.**SunDec911:53仍然登录inkatepts/4116.199.***.**SunDec911:08仍然登录inharrypts/3116.199.***.**SunDec911:06仍然登录inalvinpts/2116.199.***.**SunDec911:05仍然登录inrootpts/1116.199.***.**SunDec911:05仍然登录inalvinpts/0116.199.***.**SunDec907:25仍然登录inalvinpts/0116.199.***.**12月8日星期六20:42-23:10(02:28)alvinpts/0119.33.***.**12月3日星期一20:50-23:51(1+03:01)alvinpts/0119.33.***.**周四11月29日20:20-22:45(02:24)alvinpts/0223.104.***.**周四11月29日06:46-07:00(00:14)alvinpts/0223.104.***.**11月28日星期三20:45-22:27(01:42)alvinpts/114.25.***.***11月25日星期日19:50-21:09(01:18)alvinpts/0119.33.***.**SunNov2516:32-21:40(05:07)如果我们只想看某个人的历史,只需要在对应的用户名后面:[alvin@VM_0_16_centos~]$lastalvinalvinpts/5116.199.***.**SunDec911:53仍然登录inalvinpts/2116.199.***.**SunDec911:05仍然登录inalvinpts/0116.199.***.**12月9日星期日07:25仍然登录inalvinpts/0116.199.***.**12月8日星期六20:42-23:10(02:28)alvinpts/0119.33.***.**12月3日星期一20:50-23:51(1+03:01)alvin点/0119.33.***.**11月29日星期四20:20-22:45(02:24)alvin点/0223.104.***.**11月29日星期四06:46-07:00(00:14)alvinpts/0223.104.***.**11月28日星期三20:45-22:27(01:42)踢outthebadguys通过上面的命令,我们可以大致了解一些用户的行为。如果我们想干掉坏人,我们可以使用pkill-u命令。pkill-ualvin但是这个命令比较危险,可能会导致系统重启,所以不推荐使用这个命令。更安全的方法是使用pkill命令。[alvin@VM_0_16_centos~]$sudopkill-kill-tpts/3#harry用户已被踢除[alvin@VM_0_16_centos~]$w17:04:37up29days,6:44,5users,loadaverage:0.00,0.01,0.05USERTTYFROMLOGIN@IDLEJCPUPCPUWHATalvinpts/0116.199.102.6507:255.00s0.12s0.00swrootpts/1116.199.102.6511:055:59m0.02s.psts/2bash02116.199.102.6511:055:59m0.04s0.05ssshd:alvin[priv]katepts/4116.199.102.6511:085:12m11.94s11.91stopalvinpts/5116.199.102.650.2:1:s-bash最后,最近有很多朋友找我要一份Linux学习路线图,所以我结合自己的经验,利用业余时间熬夜一个月,整理了一本电子书。无论你是面试还是自我提升,相信都会对你有所帮助!免费送给大家,只求大家给我点个赞!电子书|LinuxDevelopmentLearningRoadmap也希望有小伙伴可以和我一起把这本电子书做得更完美!获得?希望老铁们来个三连击,让更多人看到这篇文章。推荐阅读:干货|程序员和高级架构师免费发送工件的必备资源|支持搜索的资源网站
