答案是 who、w 和 users 命令用于查看Linux系统登录用户,其中 who 显示登录用户及终端信息,w 还显示用户正在执行的命令和系统负载,users 仅输出用户名列表。
在Linux命令行下,要查看当前系统上有哪些用户登录,最直接、最常用的命令包括
who
、
w
和
users
。它们各有侧重,能让你快速了解当前的用户活动概况。
解决方案
作为一个常年和Linux打交道的人,我发现查看登录用户这事儿,看似简单,实则有些门道。不同的命令,给出的信息维度和粒度都不一样,得看你具体想知道什么。
who
命令:这是最基础也最常用的一个。当你直接敲入
who
,它会列出当前所有登录到系统的用户,包括他们的用户名、登录的终端(TTY或PTS)、登录时间,以及如果是远程登录的话,还会显示来源IP或主机名。
who# 示例输出:# user1 tty7 2023-10-27 09:30 (:0)# user2 pts/0 2023-10-27 10:15 (192.168.1.100)
我个人觉得,
who
的
-u
选项特别有用,它能显示用户的空闲时间。如果看到某个用户空闲时间特别长,你可能就需要考虑是不是一个“僵尸会话”了。而
-H
则会给输出加上表头,让信息更易读。
w
命令:如果说
who
只是告诉你“谁在”,那么
w
命令就是告诉你“谁在,并且在做什么”。它的输出信息量更大,除了包含
who
的基本信息外,还会显示系统的当前时间、运行时间、平均负载,以及每个用户当前正在执行的命令。
w# 示例输出:# 10:45:01 up 1 day, 1:15, 2 users, load average: 0.00, 0.01, 0.05# USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT# user1 tty7 :0 09:30 1:15m 0.50s 0.05s /usr/bin/gnome-session# user2 pts/0 192.168.1.100 10:15 0.00s 0.02s 0.01s bash
我经常用
w
来快速诊断服务器的负载问题,看看是不是某个用户的某个进程占用了大量资源。它简直是快速定位问题的利器。
users
命令:这个命令最简洁,它只会输出当前登录到系统的所有用户的用户名,每个用户名之间用空格隔开。如果你只是想知道有哪些不同的用户登录了,而不需要其他细节,
users
是个不错的选择。
users# 示例输出:# user1 user2
有时候我写脚本,需要快速获取一个用户列表,
users
就派上用场了,省去了很多解析
who
或
w
输出的麻烦。
logname
命令:这个命令会显示你当前登录的用户名。它和
whoami
有点像,但
logname
通常返回的是你最初登录时使用的用户名,即使你后来通过
su
或
sudo
切换了用户,
logname
还是会显示原始登录用户。
logname# 示例输出:# user1
在某些需要追踪原始会话的场景下,
logname
比
whoami
更能反映真实情况。
id -un
命令:
id
命令的用途很广,其中
id -un
可以显示当前有效用户的用户名。这里的“有效用户”指的是你当前操作所使用的用户身份,这可能和你最初登录的用户不同(比如你
sudo su -
到了 root 用户)。
id -un# 示例输出:# user1 (如果你是user1)# root (如果你是root)
在脚本里,我更倾向于用
id -un
来判断当前脚本运行时的用户身份,因为它反映的是实际的权限上下文。
如何区分不同类型的用户登录会话?
这是一个很实际的问题,毕竟不是所有登录都意味着一个活生生的人坐在键盘前。在Linux里,我们通常会看到几种不同的会话类型,主要通过
TTY
或
PTS
列来区分。
TTY
是Teletype的缩写,在早期是真正的物理终端。现在,
TTY
通常指直接连接到服务器的物理控制台会话(比如
tty1
到
tty6
),或者是通过图形界面启动的终端模拟器(在某些系统上可能也显示为
TTY
,但更多时候是
PTS
)。
PTS
是Pseudo-Terminal Slave的缩写,伪终端。这通常代表远程登录会话,比如通过SSH连接进来的会话(
pts/0
,
pts/1
等),或者是图形界面下打开的终端模拟器(例如 Gnome Terminal, Konsole, iTerm2 等)。每当你通过SSH客户端连接到Linux服务器,或者在图形界面里打开一个新的终端窗口,系统就会分配一个
PTS
。
举个例子,
who
或
w
的输出里:
user1 tty7 ... (:0)
:这通常表示一个本地图形桌面会话。
:0
表示第一个X服务器显示。
user2 pts/0 ... (192.168.1.100)
:这几乎可以肯定是一个通过SSH从IP地址
192.168.1.100
远程登录的会话。
user3 tty1 ...
:这可能是一个在服务器物理控制台上直接登录的会话。
理解这些区分对于系统管理员来说太重要了。它能让你快速判断是本地用户在操作,还是有外部连接,甚至能帮助你识别一些异常登录行为。比如,如果你发现一个平时只在本地操作的用户突然出现在一个
PTS
会话,而且来源IP很陌生,那可能就需要进一步调查了。这些会话信息其实都记录在
/var/run/utmp
文件里,
who
和
w
命令就是通过读取这个文件来获取信息的。
为什么有时
who
和
w
命令显示的用户数量不一致?
我遇到过好几次这种情况,尤其是在服务器负载高或者有异常进程的时候,
who
和
w
的输出会让我有点困惑。它们之间显示的用户数量或者会话信息有时确实会有微妙的差异,这主要源于它们获取信息的方式和侧重点不同。
who
命令主要关注的是登录会话本身。它读取
/var/run/utmp
文件(或者
/var/log/wtmp
如果你用了
-a
或
-b
选项),这个文件记录了用户登录和退出的事件。所以,
who
基本上是告诉你“有哪些登录事件发生了,并且这些会话目前被认为是活跃的”。
而
w
命令则更进一步,它不仅读取
utmp
文件来获取登录会话信息,还会尝试去查找与这些会话关联的进程。它的目的是为了展示每个登录用户“正在做什么”。
那么,差异从何而来呢?
会话残留: 有时一个用户可能已经断开连接(例如SSH会话意外中断),但相关的
utmp
记录并没有被及时清理掉。在这种情况下,
who
可能会显示这个“幽灵会话”,而
w
因为找不到对应的活动进程,可能就不会显示它,或者显示为空闲状态。非交互式登录: 某些系统服务或脚本可能会以特定用户的身份登录,但它们可能没有一个可交互的终端。
who
可能会捕捉到这些登录事件,但
w
因为没有“正在执行的命令”可以显示,可能会忽略。进程状态:
w
需要找到一个活动进程来显示“WHAT”列。如果一个用户登录后,所有进程都已退出,或者进入了某种不活跃状态,
w
可能就不会把它算作一个“活跃”用户,或者显示的信息会比较有限。系统内部会话: 某些系统组件(比如
systemd-logind
)可能会创建一些内部会话,这些会话可能在
who
的输出中出现,但它们并非传统意义上的用户交互式会话,
w
可能不会对其进行详细展示。
所以,如果遇到不一致的情况,我通常会更信任
w
命令在“当前活动”方面的判断,因为它更侧重于有实际进程在运行的会话。而
who
则可以作为了解所有历史登录事件的一个补充。深入理解它们背后的原理能帮助我们更好地诊断问题,而不是简单地认为哪个命令错了。
除了查看登录用户,还有哪些命令可以帮助我监控系统活动?
作为一个系统维护者,仅仅知道谁登录了是远远不够的。你需要一个全景图来确保系统安全和性能。除了上面提到的命令,还有一些我常用的工具,它们就像我的“眼睛”和“耳朵”,帮我捕捉系统中的每一个细微变化。
last
命令:这个命令能显示系统的历史登录记录,包括用户、终端、登录IP、登录时间、登出时间以及持续时长。它读取
/var/log/wtmp
文件,这个文件记录了所有的登录和登出事件。
last# 示例输出:# user1 pts/0 192.168.1.100 Fri Oct 27 10:15 - 10:45 (00:30)# reboot system boot 5.15.0-86-generi Fri Oct 27 09:29 still running
当我怀疑有未经授权的登录或者想追踪某个用户的登录习惯时,
last
是我首先会想到的。它能告诉我过去发生了什么。
lastb
命令:与
last
类似,但
lastb
(或者
faillog
)专门用来显示失败的登录尝试。它读取
/var/log/btmp
文件。
lastb# 示例输出:# root ssh:notty unknown Fri Oct 27 10:00 - 10:00 (00:00)
这个命令对于安全审计至关重要。如果我看到大量针对
root
或其他高权限用户的失败登录尝试,那可能意味着有人在尝试暴力破解,我需要立刻采取措施。
ps aux
/
top
/
htop
命令:这些是查看当前运行进程的“三驾马车”。
ps aux
会列出所有用户的进程,包括进程ID、CPU占用、内存占用、启动时间以及关联的命令。
top
提供一个动态更新的进程列表,按CPU或内存占用排序,非常适合实时监控。
htop
是
top
的一个增强版,界面更友好,支持鼠标操作,查看进程树也更方便。
# ps aux 示例:# USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND# user1 1234 0.1 0.5 123456 54321 pts/0 S 10:15 0:01 /bin/bash
这些命令能让我看到系统上到底有哪些程序在跑,它们是谁启动的,占用了多少资源。如果系统性能下降,我通常会先用
top
或
htop
快速定位是哪个进程在捣乱。
netstat -tulnp
或
ss -tulnp
命令:这两个命令用于查看网络连接和开放端口。
netstat
是比较老的工具,而
ss
是它的更现代、更快速的替代品。
t
表示TCP,
u
表示UDP,
l
表示监听状态,
n
表示不解析服务名和主机名,
p
表示显示进程ID和程序名。
# ss -tulnp 示例:# Netid State Recv-Q Send-Q Local Address:Port Peer Address:Port# tcp LISTEN 0 128 0.0.0.0:22 0.0.0.0:* users:(("sshd",pid=789,fd=3))
我用它们来检查服务器上是否开放了不该开放的端口,或者是否有未经授权的程序在监听网络连接。结合
ps
命令,我可以迅速定位到是哪个用户或哪个程序在进行网络活动。
auditd
(审计守护进程):对于更高级别的安全审计,Linux的
auditd
服务是不可或缺的。它可以配置来监控系统上的各种事件,比如文件访问、系统调用、命令执行等,并记录下详细的审计日志。
# 示例:查看审计日志# ausearch -m USER_LOGIN -ts today
虽然配置
auditd
需要一些学习成本,但它提供的粒度之细,是其他命令无法比拟的。在需要满足合规性要求或者进行深度安全调查时,它就是我的秘密武器。
这些命令共同构成了一个强大的监控工具集。仅仅知道谁登录了是不够的,你需要一个全景图来确保系统安全和性能。它们就像你的“眼睛”和“耳朵”,帮你捕捉系统中的每一个细微变化。
以上就是Linux命令行如何查看登录用户的详细内容,更多请关注创想鸟其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/204791.html
微信扫一扫 
支付宝扫一扫 
