Linux中用who命令查看登录用户详解

从现在开始，努力学习吧！本文《Linux查看登录用户方法：who命令详解》主要讲解了等等相关知识点，我会在golang学习网中持续更新相关的系列文章，欢迎大家关注并积极留言建议。下面就先一起来看一下本篇正文内容吧，希望能帮到你！

答案：who命令用于查看当前登录系统的用户信息，包含用户名、终端类型、登录时间和来源IP或主机名，通过选项如-u、-H、-b等可获取空闲时间、PID、系统启动时间等详细信息，结合安全策略可有效监控系统活跃状态与潜在风险。

在Linux系统中，想要快速了解当前有哪些用户正在系统上活跃，最直接且常用的方式就是使用who命令。它就像系统的一个小公告板，能即时告诉你谁在“家”里，以及他们是从哪里来的。

解决方案

要查看当前登录系统的用户信息，你只需要在终端中输入who命令，然后按下回车键。

who

执行这个命令后，你会看到类似这样的输出：

user1    pts/0        2023-10-27 10:30 (192.168.1.100)
user2    pts/1        2023-10-27 11:15 (my_remote_host)
root     tty1         2023-10-27 09:00

每一行代表一个当前登录的用户会话。这个输出简洁明了，通常包含以下几列信息：

• 用户名 (user)：登录系统的账户名。
• 终端类型 (tty/pts)：用户正在使用的终端设备。tty通常指物理终端（如直接连接到服务器的键盘和显示器），而pts（pseudo-terminal slave）则表示伪终端，通常用于SSH会话或图形界面中的终端模拟器。
• 登录时间 (date time)：用户登录系统的时间。
• 登录来源 (host/IP)：如果用户是从远程登录的，这里会显示其IP地址或主机名。本地登录通常不会显示。

这个命令的妙处在于它的即时性，能让你一眼扫过就对当前系统活跃状态有个大致的把握。我个人在需要快速确认某个远程会话是否还活跃，或者有没有异常登录时，who总是我的首选。

深入理解who命令的输出：每个字段的含义与潜在信息

当我们运行who命令时，输出的每一列数据都承载着特定的意义，理解这些细节能帮助我们更好地分析系统状态，甚至发现潜在问题。

首先是用户名，这没什么好说的，就是登录账户的标识。但接下来的终端类型就有点意思了。tty和pts的区分，其实暗示了用户的登录方式。tty通常意味着用户是直接坐在机器前面操作，或者通过串口等物理方式连接。而pts，伪终端，则几乎总是远程登录（比如SSH）或图形界面下的终端模拟器。如果你看到一个root用户登录在pts上，并且来源是一个不熟悉的IP，那可能就需要多留个心眼了。

登录时间则提供了用户会话开始的精确时刻。这个信息在排查系统资源占用问题时很有用，比如某个用户会话长时间存在，却一直没有活动，这可能意味着他们忘记登出，或者某个脚本挂起了。

最后是登录来源，这可能是IP地址或主机名。这是安全审计中非常关键的一环。我曾经遇到过一个情况，通过who命令发现一个来自公司外部IP的登录，虽然很快被证明是运维同事在远程调试，但也给我敲响了警钟。对于这些日志的日常检查，真的不能掉以轻心。它能帮助你识别是否有未经授权的登录尝试，或者至少能让你知道用户是从哪里连接到系统的。

如何利用who命令的选项获取更详细的用户信息？

who命令并非只有一种用法，它带有一些选项，可以让我们获取到更细致、更有针对性的信息。这就像是给一个简单的工具加上了几个额外的透镜，能看到更多维度的数据。

• who -u (或 --users)： 这个选项会显示用户列表，包括每个用户的空闲时间（idle time）和进程ID（PID）。空闲时间以小时和分钟显示，如果显示为.，则表示该会话在最近一分钟内有活动。

  who -u

  输出可能包含类似 user1 pts/0 2023-10-27 10:30 . 1234 (192.168.1.100) 的内容，其中 . 表示最近活跃，如果是一个数字，比如 00:05，则表示空闲了5分钟。我记得有一次，我就是用who -u发现一个长时间处于空闲状态的会话，才意识到某个服务配置可能出了问题，导致用户会话没有正常退出。

• who -H (或 --heading)： 只是简单地在输出顶部添加一个标题行，让各列的含义一目了然。对于不熟悉who输出的人来说，这很有帮助。

  who -H

• who -b (或 --boot)： 这个选项会显示系统最后一次启动的时间。虽然不是直接的用户信息，但对于理解系统运行周期，以及判断某个用户会话是否跨越了系统重启很有用。

  who -b

• who -r (或 --runlevel)： 显示当前系统的运行级别。这对于系统管理员来说，是了解系统当前状态的一个快速指标。

• who am i 或 whoami： who am i会显示你当前登录会话的信息，而whoami则仅仅输出你的用户名。虽然它们看起来相似，但who am i提供的信息更丰富，包括你的终端和登录时间。

这些选项的组合使用，能让你在不同的场景下，更高效地获取所需的用户登录信息，从而做出更准确的判断。

查看登录用户信息的潜在安全风险与应对策略

虽然查看登录用户信息是日常系统管理的基本操作，但它也并非完全没有安全考量。任何信息的暴露都可能伴随着风险，即使是看起来无害的登录记录。

首先是信息泄露风险。who命令会显示登录用户的IP地址或主机名。在某些环境下，这可能暴露内部网络结构或用户位置，如果系统被未经授权的人访问，这些信息可能会被利用。想象一下，一个攻击者通过某种方式获取了系统访问权限，他可以通过who命令迅速了解有多少合法用户在线，甚至推断出这些用户的活动模式。

其次是异常登录识别。这既是风险，也是我们利用who命令进行安全审计的机会。我们可以通过who的输出，尤其结合last命令（查看历史登录记录），来识别是否有未经授权的登录。例如，看到一个不熟悉的IP地址，或者在非工作时间有高权限账户登录，这都应该立即触发警报。

who命令的数据来源是/var/run/utmp文件，而历史登录信息则记录在/var/log/wtmp中。这两个文件是系统审计的关键，它们的完整性对系统安全至关重要。如果这些文件被篡改，那么我们对登录信息的判断就会出现偏差。

面对这些潜在风险，我们可以采取一系列应对策略：

• 定期检查登录日志：不仅仅是who的即时输出，更重要的是定期检查last命令和系统认证日志（如/var/log/auth.log或secure），以发现异常模式。
• 实施强密码策略和多因素认证（MFA）：这是防止未经授权访问的最基本也是最重要的防线。
• 限制root用户直接SSH登录：通常建议通过普通用户登录，再使用sudo切换到root权限，这能留下更清晰的审计痕迹。
• 使用防火墙限制SSH访问来源：只允许特定IP地址范围访问SSH端口，可以大大降低被扫描和暴力破解的风险。

总而言之，who命令是一个简单而强大的工具，但它的输出信息也需要我们以审慎的态度去解读和管理。安全是一个持续的过程，而不是一劳永逸的配置。

理论要掌握，实操不能落！以上关于《Linux中用who命令查看登录用户详解》的详细介绍，大家都掌握了吧！如果想要继续提升自己的能力，那么就来关注golang学习网公众号吧！