RockyLinux lastb命令详解（如何查看系统失败登录尝试记录）

什么是 lastb 命令？

lastb 是一个用于读取 /var/log/btmp 文件的命令行工具。该文件记录了所有失败的登录尝试，包括错误的用户名、密码、IP 地址、时间等信息。通过分析这些数据，你可以及时发现潜在的暴力破解攻击或异常访问行为。

使用 lastb 命令前的准备

在 RockyLinux 中，默认情况下 lastb 命令需要 root 权限才能运行，因为 /var/log/btmp 文件通常只对 root 用户可读。因此，在执行命令前，请确保你已切换到 root 用户或使用 sudo。

基本用法：查看所有失败登录记录

最简单的用法就是在终端中直接输入：

sudo lastb

执行后，你会看到类似如下的输出：

root     ssh:notty    192.168.1.100   Mon Jun 10 14:23 - 14:23  (00:00)admin    ssh:notty    203.0.113.45    Mon Jun 10 14:22 - 14:22  (00:00)user1    tty1                         Mon Jun 10 14:20 - 14:20  (00:00)

每一列的含义如下：

• 用户名：尝试登录所使用的用户名（可能是伪造的）
• 来源 IP：发起登录请求的客户端 IP 地址（本地登录则为空）
• 时间：失败发生的具体日期和时间

常用选项与技巧

1. 限制显示条数

如果失败记录非常多，可以只查看最近几条：

sudo lastb -n 10

这将只显示最近 10 次失败登录。

2. 清空失败登录日志

出于隐私或日志轮转考虑，有时需要清空 btmp 文件。注意：这不是删除文件，而是清空内容：

sudo > /var/log/btmp

⚠️ 警告：清空后将无法再追溯历史失败记录，请谨慎操作。

3. 结合 grep 过滤特定 IP

如果你怀疑某个 IP 在进行攻击，可以这样过滤：

sudo lastb | grep "203.0.113.45"

安全建议

定期使用 RockyLinux lastb命令检查失败登录尝试，是提升服务器安全性的基础措施。一旦发现大量来自同一 IP 的失败记录，建议：

• 使用防火墙（如 firewalld 或 iptables）封禁该 IP
• 启用 fail2ban 自动封禁恶意 IP
• 确保 SSH 使用密钥登录并禁用 root 直接登录

总结

通过本文，你应该已经掌握了如何在 RockyLinux 中使用 lastb 命令来查看失败登录尝试。这项技能对于系统管理员来说至关重要，不仅能帮助你识别潜在威胁，还能为后续的安全加固提供依据。记住，安全无小事，定期检查日志是守护服务器的第一道防线。

希望这篇 lastb命令使用教程 对你有所帮助！如果你是初学者，不妨现在就在你的 RockyLinux 服务器上试试看吧。