Linuxサーバーでログインユーザーの一覧確認や履歴確認を行う事は多いです。
理由としては怪しいユーザーが現在ログインしていないか?またはログインしていなかったかなどを調査する為です。
セキュリティの調査などで必須のLinuxログインユーザーの確認方法を、現役エンジニアの筆者がまとめます。
筆者はWindowsサーバーやLinuxサーバーの運用構築を11年以上おこなってきました。その経験を元に知識を公開していきます!
この記事を読めばLinuxでログインユーザーの一覧や履歴を確認して、怪しいユーザーがいないか確認する事が可能です。
Linuxでログインユーザーの一覧確認や履歴確認を行う方法
Linuxでログインユーザーの一覧や履歴を確認するコマンドがありますが、履歴が記述されているファイルを参照している仕組みです。
コマンドでもファイルを参照でも良いですが、出来るだけコマンドで確認しましょう。
ファイルは改ざんやおかしな事にならないように、編集しないようにしましょう!
Linuxでログインユーザーの一覧確認方法
ログインユーザーの一覧確認コマンド
Linuxでログインユーザーの一覧確認のコマンドは以下です。
who
またはwでも良いです。
w
これらのログインユーザー一覧するコマンドの参照ファイルは「/var/run/utmp」です。
実践:ログインユーザーの一覧確認コマンド
それでは私の環境で実践してみます。
[root@localhost ~]# who
root pts/0 2024-04-27 10:21 (192.168.77.11)
user1 pts/1 2024-04-27 10:24 (192.168.150.77)
whoコマンドでログインユーザーは2人います。ログインした日付と時間と接続元IPアドレスが表示されています。
whoコマンドでログインユーザーの一覧が確認出来ました。
[root@localhost ~]# w
10:38:08 up 9 min, 2 user, load average: 0.00, 0.01, 0.03
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root pts/0 192.168.77.11 10:21 0.00s 0.01s 0.00s w
user1 pts/1 192.168.150.77 10:24 0.00s 0.01s 0.00s /etc/passwd
wコマンドではwhoと同様の情報もありますが、ログインユーザーの人数を数えてくれたり、CPUの使用やIDLEタイムや何をしているかも確認できます。
wコマンドでログインユーザーの一覧が確認出来ました。
Linuxでログインユーザーの履歴確認方法
ログインユーザーの履歴確認コマンド
Linuxでログインユーザーの履歴確認のコマンドは以下です。
last
ログインユーザーの履歴確認するコマンドの参照ファイルは「/var/log/wtmp」です。
実践:ログインユーザーの履歴確認コマンド
それでは私の環境で実践してみます。
[root@localhost ~]# last
root pts/0 192.168.77.11 Sat Apr 27 10:24 still logged in
root pts/0 192.168.77.11 Fri Apr 26 22:51 - down (02:22)
user1 pts/1 192.168.150.77 Fri Apr 26 22:50 - down (02:22)
root pts/0 192.168.77.11 Fri Apr 26 15:03 - crash (07:48)
wtmp begins Sat Jan 7 21:09:28 2023
[root@localhost ~]#
lastコマンドでログインユーザーの履歴が確認出来ました。
Linuxでユーザーに関する他の記事について
Linuxサーバーでユーザー一覧を表示する方法
Linuxサーバーでユーザー作成する方法
Linuxサーバーでユーザー削除する方法
Linuxサーバーでユーザー名変更する方法
まとめ:Linuxでログインユーザーの一覧確認や履歴確認を行う方法
Linuxで簡単にログインユーザーの一覧を確認したい場合のコマンドは以下です。
who
ログインユーザーの詳しい情報も欲しい場合のコマンドは以下です。
w
Linuxでログインユーザーの履歴確認のコマンドは以下です。
last