在服务器运维与安全管理工作中,实时掌握并查询登录设备的IP地址是保障系统安全的第一道防线。核心上文归纳是:在Linux系统中,主要通过last、who等命令分析系统日志文件(如/var/log/wtmp、/var/log/secure)来获取登录IP;在Windows Server中,则需依赖“事件查看器”筛选安全日志或使用PowerShell命令;对于实时连接监控,netstat或ss命令则是通用的专业解决方案。通过这些方法,管理员可以精准定位登录来源,及时发现异地登录或异常访问行为,从而采取相应的防御措施。
Linux服务器查看登录设备地址的常用方法
Linux服务器作为企业核心业务承载平台,其登录记录主要存储在底层的二进制日志文件中,通过命令行工具解析这些文件,是获取登录设备地址最高效的手段。
使用last命令查询历史登录记录
last命令是Linux下查看用户登录历史的首选工具,它默认读取/var/log/wtmp文件,该文件记录了所有成功登录和重启系统的信息。
执行last命令后,系统会列出详细的登录列表,包含用户名、登录终端、登录设备IP地址以及登录和退出的时间戳,若只想查看特定用户的登录记录,可以使用last username,管理员应重点关注last -f /var/log/wtmp.1等历史归档日志,以便追溯更久远的记录,若发现来源IP异常,需立即结合防火墙规则进行封禁。
使用lastb命令分析登录失败记录
安全防御不仅关注成功登录,更需警惕暴力破解。lastb命令专门用于读取/var/log/btmp文件,该文件记录了所有失败的登录尝试,通过执行lastb,管理员可以清晰地看到哪些IP地址在尝试猜测密码,如果发现某个特定IP在短时间内产生了大量失败记录,这通常意味着正在遭受SSH暴力破解攻击,此时应立即部署如Fail2Ban等防护工具或手动阻断该IP。
使用who和w命令查看当前在线用户
与last查看历史不同,who和w命令专注于当前时刻的登录状态。who命令读取/var/run/utmp文件,显示当前登录的所有用户及其使用的终端和来源IP,而w命令则更为强大,它不仅显示登录用户和IP,还展示了用户当前正在执行的进程以及CPU、内存的占用情况,这对于判断当前会话是否为管理员本人操作,或者是否存在僵尸会话具有重要参考价值。
深度解析系统认证日志
对于基于RedHat或CentOS的系统,/var/log/secure文件记录了SSH服务的详细认证过程;而在Debian或Ubuntu系统中,对应文件为/var/log/auth.log,通过grep命令筛选关键字,可以提取出更纯净的IP信息,执行grep "Accepted" /var/log/secure可以查看所有成功的SSH连接,其中包含的from字段后紧跟的即是客户端的IP地址,这种方法比单纯使用last命令提供了更多的上下文信息,如使用的SSH协议版本和加密算法。
Windows Server查询登录IP地址的专业方案
Windows Server环境下的登录查询主要依赖于强大的事件日志系统,与Linux的文本日志不同,Windows使用结构化的事件日志,需要通过特定的ID进行筛选。
事件查看器筛选安全日志
Windows系统的所有登录行为都会被记录在“事件查看器”的“Windows日志”下的“安全”通道中,管理员需要重点关注事件ID 4624(登录成功)和事件ID 4625(登录失败)。
打开事件查看器后,点击“筛选当前日志”,输入事件ID 4624,在详细属性中,查找“网络信息”部分,其中的“源网络地址”字段即为登录设备的IP地址,如果是本地登录,该字段通常显示为“::1”或“-”,通过这种方式,管理员可以构建出完整的用户访问时间线。
使用PowerShell进行自动化查询
为了提高效率,专业的运维人员通常使用PowerShell来替代图形界面的手动查询,利用Get-WinEvent cmdlet,可以快速提取出特定时间范围内的登录记录。
使用命令Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4624} | Select-Object TimeCreated, Message,可以批量导出登录成功的信息,结合正则表达式或文本处理,可以精准提取出IP地址字段,生成易于分析的报表,这种方法在处理大量日志时,比GUI界面更具优势,且便于编写脚本进行实时监控报警。
登录地址查询的安全分析与防御策略
仅仅查看地址是不够的,专业的运维必须具备对数据的分析能力。
识别异常登录行为
在获取到登录IP列表后,第一步是进行地理位置关联,如果服务器主要服务于国内用户,但日志中出现了来自高风险国家或地区的IP,这极有可能是入侵迹象。非工作时间的登录也是重要的风险指标,管理员应建立登录基线,即记录正常的管理员登录习惯(如常用的IP段、登录时间),任何偏离基线的行为都应触发二次验证或告警。
实时连接监控与阻断
除了历史日志,管理员还应关注当前的TCP连接状态,使用ss -tulnw或netstat -an命令,可以查看当前服务器与外部设备建立的连接,特别是ESTABLISHED状态的连接,代表了活跃的会话,如果发现未知的IP与SSH端口(默认22)或RDP端口(默认3389)保持连接,应使用tcpkill或防火墙命令(如iptables或firewall-cmd)强制断开连接。
强化认证机制
查询登录地址的最终目的是为了加固安全,建议服务器必须强制实施密钥登录替代密码登录,以杜绝暴力破解,限制/etc/ssh/sshd_config中的AllowUsers或AllowGroups,仅允许特定的用户名从特定的IP地址登录,即实施“白名单”策略,这是降低被入侵风险最有效的手段之一。
相关问答
Q1:如果服务器日志显示的登录IP是内网地址(如192.168.x.x),如何获取真实的公网IP?
A1: 这种情况通常意味着用户是通过代理服务器、NAT网关或负载均衡器访问服务器的,要获取真实公网IP,需要检查前一跳设备的日志,如果是Nginx反向代理,需要检查Nginx的access.log,其中的X-Forwarded-For头部通常包含了客户端的真实IP,如果是SSH跳板机,则需要登录到跳板机上查看其wtmp或auth.log,以追溯源头IP。
Q2:如何防止攻击者在获取权限后篡改或删除登录日志?
A2: 防止日志篡改需要“日志防篡改”策略,应配置日志服务器,将服务器的日志实时同步到远程的、只读的日志服务器(如使用Rsyslog或ELK Stack),这样即使服务器被攻破,历史日志依然完好,可以使用chattr +a命令给关键日志文件(如/var/log/wtmp)设置“仅追加”属性,防止被rm -f删除,利用WAF(Web应用防火墙)或HIDS(主机入侵检测系统)监控日志文件的完整性。
通过上述专业且系统的查询与分析方法,管理员可以全面掌握服务器的登录状态,将安全隐患消灭在萌芽状态,如果您在具体操作中遇到命令参数不匹配或日志路径差异的问题,欢迎在下方留言,我们将为您提供针对性的技术支持。
