Centos lastb命令详解（查看失败登录尝试与系统安全防护指南）

什么是 lastb 命令？

lastb 是 Linux 系统中用于读取 /var/log/btmp 文件的命令，该文件专门记录所有失败的登录尝试。无论是通过 SSH、控制台还是其他方式登录失败，系统都会将相关信息写入此日志。

如何使用 lastb 命令？

在 CentOS 系统中，直接在终端输入以下命令即可：

$ sudo lastb  

由于 /var/log/btmp 文件通常只有 root 用户可读，因此需要使用 sudo 提权执行。

输出结果解读

执行 lastb 后，你会看到类似如下的输出：

root     ssh:notty    192.168.1.100   Mon Jun 10 08:23 - 08:23  (00:00)admin    tty1                         Mon Jun 10 07:45 - 07:45  (00:00)user1    ssh:notty    203.0.113.45    Mon Jun 10 06:12 - 06:12  (00:00)  

每列含义如下：

• 用户名：尝试登录的账户名（可能是真实用户，也可能是攻击者猜测的用户名）。
• 终端/服务：如 tty1 表示本地控制台，ssh:notty 表示通过 SSH 登录。
• IP 地址：发起登录请求的来源 IP（若为本地则可能为空）。
• 时间：失败登录发生的时间。

常见应用场景

1. 检测 SSH 暴力破解：如果看到大量来自同一 IP 的失败登录（尤其是 root、admin 等常见用户名），很可能正在遭受暴力破解攻击。

2. 排查用户登录问题：当合法用户反馈无法登录时，可通过 lastb 查看是否输错密码或账户被锁定。

3. 配合 fail2ban 使用：结合安全工具如 fail2ban，可自动封禁频繁失败登录的 IP，提升系统安全性。

注意事项

- /var/log/btmp 文件不会自动轮转，长期运行可能导致文件过大。建议定期清理或配置 logrotate。

- 清空失败登录记录的方法（谨慎操作）：

$ sudo > /var/log/btmp  

⚠️ 注意：清空日志会丢失所有历史失败记录，请确保已备份或确认无需保留。

总结

掌握 Centos lastb命令 是每位 Linux 系统管理员的基本功。通过定期检查 失败登录尝试，你可以有效识别和防范潜在的安全威胁，保障服务器稳定运行。同时，结合其他安全措施（如密钥登录、防火墙规则等），可构建更坚固的 Linux安全日志 监控体系，及时应对 SSH暴力破解检测 等常见攻击手段。

本文适用于 CentOS 7/8 及兼容发行版（如 Rocky Linux、AlmaLinux）。建议在生产环境中定期审计登录日志，防患于未然。