用户Linux查看远程登录用户:实践指南（linux查看远程登录）

linux作为一款多用途操作系统早已被用在各个行业，远程监控成了一个核心功能。而在远程监控登录时一个非常重要的知识点就是了解目标服务器所登录的用户。查看远程登录用户是安全的最基本的把控。Linus 下查看远程用户有很多种方法，下面就介绍几种比较常用的方法。

1. 使用who命令

fpr Linux查看远程登录用户，我们使用最常用的命令就是who。它能够显示当前登录系统的用户列表，也包括远程登录的用户。例如，使用行命令查看当前登录用户：

# who

输出结果如下：

root  ttyp17  Sep 27 15:55
foobar  pts/1  Oct 26 09:32  (someserver.somedomain.net)

其中，foobar是远程登录的用户，someserver.somedomain.net是远程登录的IP; pts/1是远程的终端类型，Oct 26 09:32是该用户登录的时间。

2. 使用w命令

w命令比who命令更显著，展示的信息更加详细，它实际是who的变种，并且提供对新的会话的监视，使得及时发现有新用户接入的情况。使用w命令查看当前登录用户：

# w

输出结果如下：

 14:30:05 up  1:33,  2 users,  load average: 0.09, 0.06, 0.05
USER  TTY  FROM                                        LOGIN@  IDLE   JCPU  PCPU  WHAT
root  ttyp17  10.0.3.142       Sep 27 15:55      1  1:05  0.01s  0.01s  -bash
foobar  pts/1  someserver.somedomain.net    Oct 26 09:32  1.00s  1.00s  0.00s  -bash

从上面结果可以看到，这个命令还输出用户所执行的操作（第一行）。

3. 使用netstat命令

netstat命令是Linux系统最厉害的终端分析和诊断命令，它可以用于检查当前网络连接，检测哪些端口打开等。使用netstate，同样可以查看当前远程登录用户：

# netstat -an | grep "ESTABLISHED" | grep ":22"

上面表示过滤出和22端口已经建立成功的链接，这就意味着有远程用户使用22端口远程登录了。输出样式如下：

tcp      0      0  10.0.20.17:48781  10.0.20.18:22       ESTABLISHED
tcp      0      0  10.0.20.18:22      10.0.20.17:48781       ESTABLISHED

从上面可以看到，10.0.20.17就是远程用户的IP，48781是远程登录的端口号。

以上就是查看Linux下远程登录用户的几种常用方法，通过它们可以及时发现存在威胁的攻击者，确保系统安全。