Ubuntu lastb命令详解（查看失败登录尝试，提升Linux系统安全）

什么是 lastb 命令？

lastb 是 Linux 系统中用于显示 /var/log/btmp 文件内容的命令。该文件专门记录所有失败的登录尝试（包括 SSH、控制台、图形界面等）。与 last 命令（查看成功登录记录）不同，lastb 专注于异常行为，是进行 Linux安全日志 分析的重要工具。

使用前提：权限要求

由于 /var/log/btmp 属于系统敏感日志，普通用户无法直接读取。因此，运行 lastb 通常需要 root 权限 或使用 sudo。

基本用法示例

打开终端，输入以下命令：

sudo lastb

执行后，你可能会看到类似如下的输出：

root     ssh:notty    192.168.1.100   Mon Jun 10 14:23 - 14:23  (00:00)admin    ssh:notty    203.0.113.45    Mon Jun 10 14:22 - 14:22  (00:00)guest    tty1                        Mon Jun 10 14:20 - 14:20  (00:00)

每列含义如下：

• 用户名：尝试登录所用的用户名（可能是猜测的）
• 终端/服务：如 ssh:notty 表示通过 SSH 登录失败，tty1 表示本地控制台
• IP 地址或主机名：发起登录请求的来源地址（若为本地则可能为空）
• 时间信息：失败尝试发生的时间

常用选项与技巧

1. 限制显示行数

如果失败记录非常多，可以只查看最近几条：

sudo lastb -n 10

这将只显示最近 10 次失败登录。

2. 清空失败登录日志

出于隐私或日志管理目的，有时需要清空 btmp 文件。注意：此操作不可逆！

sudo truncate -s 0 /var/log/btmp# 或者sudo > /var/log/btmp

⚠️ 警告：清空日志前请确保已备份重要信息，避免丢失安全审计证据。

如何利用 lastb 进行系统入侵检测？

定期检查 lastb 输出是 系统入侵检测 的基础步骤之一。如果你发现：

• 大量来自同一 IP 的失败尝试（尤其是 root 用户）
• 使用常见弱密码用户名（如 admin、test、guest）的频繁尝试
• 短时间内爆发式登录失败

这很可能是自动化脚本在进行暴力破解。建议立即采取以下措施：

1. 使用 fail2ban 自动封禁恶意 IP
2. 禁用 root 远程登录
3. 启用 SSH 密钥认证，关闭密码登录
4. 配置防火墙（如 ufw）限制访问源

总结

掌握 Ubuntu lastb命令 不仅能帮助你了解系统的安全状况，还能在早期发现潜在威胁。结合 查看失败登录尝试、分析 Linux安全日志 和实施有效的 系统入侵检测 策略，你可以显著提升 Ubuntu 系统的整体安全性。

建议将 lastb 检查纳入日常运维流程，或通过定时任务（cron）自动发送报告，做到防患于未然。