Linux查看当前登录用户与踢出非法用户操作指南

在Linux服务器安全管理中，处理可疑或非法登录会话是一项关键任务。但在采取任何行动之前，最核心的步骤是什么？是精确识别。管理员必须准确掌握当前登录用户的身份、来源IP以及连接方式。如果这一步出现偏差，后续操作不仅可能无效，更有可能误中断正常用户的合法访问，影响业务连续性。

谈及查看在线用户，许多用户可能熟悉 who 或 users 命令，但它们提供的信息存在关键缺失。who 命令不显示来源IP地址，而 users 命令仅输出一个简单的用户名列表。真正能够提供全面会话洞察的命令是 w。它是唯一能同时展示用户名、来源IP地址和终端类型这三项核心信息的工具，这些信息正是后续执行精准用户下线操作所必需的决策依据。

使用 w 命令洞察登录会话的终端类型与来源

执行 w 命令后，其输出信息具有明确的指导意义。TTY 列清晰地标识了会话类型：例如 tty1、tty2 通常代表本地物理终端或控制台登录；而 pts/0、pts/1 等则几乎可以确定为SSH等远程连接会话。同时，FROM 列显示了连接的来源IP地址或主机名。如果 FROM 列为空且对应的 TTY 为 tty 类型，那么这基本可以判定为服务器本地的登录会话。

灵活运用 w 命令的参数，可以显著提升排查效率：

• 添加 -i 参数，强制 FROM 列显示IP地址，而非进行反向DNS解析。这在DNS解析异常或管理员仅需关注IP时非常实用，能有效避免该字段显示为空。
• 添加 -h 参数，可以省略输出的标题行。这在编写脚本进行自动化分析时尤其方便，例如可以使用 w -hi | grep '192\.168\.1\.' 来快速筛选出来自特定内网网段的连接。
• 需要注意两个时间字段的含义：LOGIN@ 表示会话建立的时间点，而非用户最后一次活动的时间；而 IDLE（空闲时间）的统计有时并不可靠，不建议单纯依赖此值来判断用户是否仍在活跃操作。

强制下线用户应使用 pkill -kill -t，而非 kill 或 killall

锁定目标会话后，如何执行下线操作？这里存在一个普遍误区：Linux系统本身并未提供一个名为“踢用户”的单一命令。所谓强制用户下线，其本质是终止该用户在特定终端上的所有关联进程。能够精确完成此任务的命令组合是 pkill -kill -t <终端名>。

为什么推荐此命令？因为管理员的目标是“终结指定终端上的所有活动”，而非针对单一进程。直接使用 kill 命令终止进程ID（PID），很容易遗漏该终端下运行的其他子进程；而使用 killall -u 用户名 则风险更高，它会终止该用户在所有终端上的进程，可能导致其其他合法会话被意外中断。

执行该命令时，必须注意以下关键细节：

• 信号应使用 -kill（即 -9，SIGKILL）。强制下线通常要求立即、无条件地终止连接，普通的终止信号（如SIGTERM）可能会被进程忽略或拦截处理。
• 目标必须精确指定到终端名称（TTY），例如 tty1 或 pts/3。这涉及系统命名空间，指定错误将导致命令执行无效。
• 操作前，务必再次确认管理员自己当前的会话终端不在即将被下线的终端列表中，以避免将自己踢出系统。

利用 last 和 lastb 追溯历史登录与异常行为

w 命令虽好，但仅能显示当前在线的会话。对于已经断开连接的“历史访问记录”，或者需要追溯特定IP的登录行为时，就需要借助 last 及其关联命令 lastb。

last 命令读取 /var/log/wtmp 文件，其中记录了所有成功的系统登录历史。当怀疑某个IP地址曾进行非法访问时，可以使用 last -i 192.168.1.105 来查询该IP近期的成功登录记录。而 lastb 命令则专门用于查看失败的登录尝试（读取 /var/log/btmp），常用于分析潜在的暴力破解攻击，执行此命令通常需要root权限。

以下是一些实用的查询技巧：

• last -i 192.168.1.105：集中查询特定IP地址的成功登录历史。
• lastb -i 192.168.1.105：查看该IP的失败登录尝试记录，辅助判断是否存在爆破行为。
• last -F | head -20：查看带有完整日期和时间戳的最近20条登录记录。注意，如果输出中显示 still logged in，则表示该用户会话当前仍然在线。

归根结底，在Linux系统中执行用户下线操作本身并不复杂，真正的难点在于前期的“裁决”阶段——如何准确判定“谁应该被强制下线”。w 命令告诉你谁在线，但无法揭示其具体行为；last 命令提供历史视角，但非实时信息；ps 命令能查看进程，却又不是按终端进行聚合展示。

因此，在实际的运维安全实践中，一个可靠的排查流程通常是串联式的：首先使用 w 命令定位到可疑的 pts 远程终端；接着使用 ps -t pts/2 命令查看该终端上具体运行了哪些进程，以判断其活动是否异常；最后，再通过 last -i 命令核查对应来源IP的历史登录记录，综合评估其行为的合法性。这三个环节环环相扣，缺少任何一环，都可能导致误判——要么误伤正常用户，要么遗漏真正的安全威胁。