Linux命令行如何查看登录用户

答案是 who、w 和 users 命令用于查看Linux系统登录用户，其中 who 显示登录用户及终端信息，w 还显示用户正在执行的命令和系统负载，users 仅输出用户名列表。

在Linux命令行下，要查看当前系统上有哪些用户登录，最直接、最常用的命令包括

who

w

users

解决方案

作为一个常年和Linux打交道的人，我发现查看登录用户这事儿，看似简单，实则有些门道。不同的命令，给出的信息维度和粒度都不一样，得看你具体想知道什么。

• who

  登录后复制
  命令： 这是最基础也最常用的一个。当你直接敲入

  who

  登录后复制
  ，它会列出当前所有登录到系统的用户，包括他们的用户名、登录的终端（TTY或PTS）、登录时间，以及如果是远程登录的话，还会显示来源IP或主机名。

  who
  # 示例输出：
  # user1    tty7         2023-10-27 09:30 (:0)
  # user2    pts/0        2023-10-27 10:15 (192.168.1.100)

  登录后复制

  我个人觉得，

  who

  登录后复制
  的

  -u

  登录后复制
  选项特别有用，它能显示用户的空闲时间。如果看到某个用户空闲时间特别长，你可能就需要考虑是不是一个“僵尸会话”了。而

  -H

  登录后复制
  则会给输出加上表头，让信息更易读。

• w

  登录后复制
  命令： 如果说

  who

  登录后复制
  只是告诉你“谁在”，那么

  w

  登录后复制
  命令就是告诉你“谁在，并且在做什么”。它的输出信息量更大，除了包含

  who

  登录后复制
  的基本信息外，还会显示系统的当前时间、运行时间、平均负载，以及每个用户当前正在执行的命令。

  w
  # 示例输出：
  #  10:45:01 up 1 day, 1:15,  2 users,  load average: 0.00, 0.01, 0.05
  # USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
  # user1    tty7     :0               09:30    1:15m  0.50s  0.05s /usr/bin/gnome-session
  # user2    pts/0    192.168.1.100    10:15    0.00s  0.02s  0.01s bash

  登录后复制

  我经常用

  w

  登录后复制
  来快速诊断服务器的负载问题，看看是不是某个用户的某个进程占用了大量资源。它简直是快速定位问题的利器。

• users

  登录后复制
  命令： 这个命令最简洁，它只会输出当前登录到系统的所有用户的用户名，每个用户名之间用空格隔开。如果你只是想知道有哪些不同的用户登录了，而不需要其他细节，

  users

  登录后复制
  是个不错的选择。

  users
  # 示例输出：
  # user1 user2

  登录后复制

  有时候我写脚本，需要快速获取一个用户列表，

  users

  登录后复制
  就派上用场了，省去了很多解析

  who

  登录后复制
  或

  w

  登录后复制
  输出的麻烦。

• logname

  登录后复制
  命令： 这个命令会显示你当前登录的用户名。它和

  whoami

  登录后复制
  有点像，但

  logname

  登录后复制
  通常返回的是你最初登录时使用的用户名，即使你后来通过

  su

  登录后复制
  或

  sudo

  登录后复制
  切换了用户，

  logname

  登录后复制
  还是会显示原始登录用户。

  logname
  # 示例输出：
  # user1

  登录后复制

  在某些需要追踪原始会话的场景下，

  logname

  登录后复制
  比

  whoami

  登录后复制
  更能反映真实情况。

• id -un

  登录后复制
  命令：

  id

  登录后复制
  命令的用途很广，其中

  id -un

  登录后复制
  可以显示当前有效用户的用户名。这里的“有效用户”指的是你当前操作所使用的用户身份，这可能和你最初登录的用户不同（比如你

  sudo su -

  登录后复制
  到了 root 用户）。

  id -un
  # 示例输出：
  # user1 (如果你是user1)
  # root (如果你是root)

  登录后复制

  在脚本里，我更倾向于用

  id -un

  登录后复制
  来判断当前脚本运行时的用户身份，因为它反映的是实际的权限上下文。

如何区分不同类型的用户登录会话？

这是一个很实际的问题，毕竟不是所有登录都意味着一个活生生的人坐在键盘前。在Linux里，我们通常会看到几种不同的会话类型，主要通过

TTY

PTS

TTY

TTY

tty1

tty6

TTY

PTS

PTS

pts/0

pts/1

PTS

举个例子，

who

w

• user1 tty7 ... (:0)

  登录后复制
  ：这通常表示一个本地图形桌面会话。

  :0

  登录后复制
  表示第一个X服务器显示。

• user2 pts/0 ... (192.168.1.100)

  登录后复制
  ：这几乎可以肯定是一个通过SSH从IP地址

  192.168.1.100

  登录后复制
  远程登录的会话。

• user3 tty1 ...

  登录后复制
  ：这可能是一个在服务器物理控制台上直接登录的会话。

理解这些区分对于系统管理员来说太重要了。它能让你快速判断是本地用户在操作，还是有外部连接，甚至能帮助你识别一些异常登录行为。比如，如果你发现一个平时只在本地操作的用户突然出现在一个

PTS

/var/run/utmp

who

w

行者AI

行者AI绘图创作，唤醒新的灵感，创造更多可能

100

查看详情

为什么有时

who

登录后复制

和

w

登录后复制

命令显示的用户数量不一致？

我遇到过好几次这种情况，尤其是在服务器负载高或者有异常进程的时候，

who

w

who

/var/run/utmp

/var/log/wtmp

-a

-b

who

而

w

utmp

那么，差异从何而来呢？

• 会话残留： 有时一个用户可能已经断开连接（例如SSH会话意外中断），但相关的

  utmp

  登录后复制
  记录并没有被及时清理掉。在这种情况下，

  who

  登录后复制
  可能会显示这个“幽灵会话”，而

  w

  登录后复制
  因为找不到对应的活动进程，可能就不会显示它，或者显示为空闲状态。
• 非交互式登录： 某些系统服务或脚本可能会以特定用户的身份登录，但它们可能没有一个可交互的终端。

  who

  登录后复制
  可能会捕捉到这些登录事件，但

  w

  登录后复制
  因为没有“正在执行的命令”可以显示，可能会忽略。
• 进程状态：

  w

  登录后复制
  需要找到一个活动进程来显示“WHAT”列。如果一个用户登录后，所有进程都已退出，或者进入了某种不活跃状态，

  w

  登录后复制
  可能就不会把它算作一个“活跃”用户，或者显示的信息会比较有限。
• 系统内部会话： 某些系统组件（比如

  systemd-logind

  登录后复制
  ）可能会创建一些内部会话，这些会话可能在

  who

  登录后复制
  的输出中出现，但它们并非传统意义上的用户交互式会话，

  w

  登录后复制
  可能不会对其进行详细展示。

所以，如果遇到不一致的情况，我通常会更信任

w

who

除了查看登录用户，还有哪些命令可以帮助我监控系统活动？

作为一个系统维护者，仅仅知道谁登录了是远远不够的。你需要一个全景图来确保系统安全和性能。除了上面提到的命令，还有一些我常用的工具，它们就像我的“眼睛”和“耳朵”，帮我捕捉系统中的每一个细微变化。

• last

  登录后复制
  命令： 这个命令能显示系统的历史登录记录，包括用户、终端、登录IP、登录时间、登出时间以及持续时长。它读取

  /var/log/wtmp

  登录后复制
  文件，这个文件记录了所有的登录和登出事件。

  last
  # 示例输出：
  # user1    pts/0        192.168.1.100    Fri Oct 27 10:15 - 10:45  (00:30)
  # reboot   system boot  5.15.0-86-generi Fri Oct 27 09:29   still running

  登录后复制

  当我怀疑有未经授权的登录或者想追踪某个用户的登录习惯时，

  last

  登录后复制
  是我首先会想到的。它能告诉我过去发生了什么。

• lastb

  登录后复制
  命令： 与

  last

  登录后复制
  类似，但

  lastb

  登录后复制
  （或者

  faillog

  登录后复制
  ）专门用来显示失败的登录尝试。它读取

  /var/log/btmp

  登录后复制
  文件。

  lastb
  # 示例输出：
  # root     ssh:notty    unknown          Fri Oct 27 10:00 - 10:00  (00:00)

  登录后复制

  这个命令对于安全审计至关重要。如果我看到大量针对

  root

  登录后复制
  或其他高权限用户的失败登录尝试，那可能意味着有人在尝试暴力破解，我需要立刻采取措施。

• ps aux

  登录后复制
  /

  top

  登录后复制
  /

  htop

  登录后复制
  命令： 这些是查看当前运行进程的“三驾马车”。

  • ps aux

    登录后复制
    会列出所有用户的进程，包括进程ID、CPU占用、内存占用、启动时间以及关联的命令。

  • top

    登录后复制
    提供一个动态更新的进程列表，按CPU或内存占用排序，非常适合实时监控。

  • htop

    登录后复制
    是

    top

    登录后复制
    的一个增强版，界面更友好，支持鼠标操作，查看进程树也更方便。

    # ps aux 示例：
    # USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
    # user1     1234  0.1  0.5 123456 54321 pts/0    S    10:15   0:01 /bin/bash

    登录后复制

    这些命令能让我看到系统上到底有哪些程序在跑，它们是谁启动的，占用了多少资源。如果系统性能下降，我通常会先用

    top

    登录后复制
    或

    htop

    登录后复制
    快速定位是哪个进程在捣乱。

• netstat -tulnp

  登录后复制
  或

  ss -tulnp

  登录后复制
  命令： 这两个命令用于查看网络连接和开放端口。

  netstat

  登录后复制
  是比较老的工具，而

  ss

  登录后复制
  是它的更现代、更快速的替代品。

  t

  登录后复制
  表示TCP，

  u

  登录后复制
  表示UDP，

  l

  登录后复制
  表示监听状态，

  n

  登录后复制
  表示不解析服务名和主机名，

  p

  登录后复制
  表示显示进程ID和程序名。

  # ss -tulnp 示例：
  # Netid State      Recv-Q Send-Q Local Address:Port               Peer Address:Port
  # tcp   LISTEN     0      128    0.0.0.0:22                       0.0.0.0:*      users:(("sshd",pid=789,fd=3))

  登录后复制

  我用它们来检查服务器上是否开放了不该开放的端口，或者是否有未经授权的程序在监听网络连接。结合

  ps

  登录后复制
  命令，我可以迅速定位到是哪个用户或哪个程序在进行网络活动。

• auditd

  登录后复制
  (审计守护进程)： 对于更高级别的安全审计，Linux的

  auditd

  登录后复制
  服务是不可或缺的。它可以配置来监控系统上的各种事件，比如文件访问、系统调用、命令执行等，并记录下详细的审计日志。

  # 示例：查看审计日志
  # ausearch -m USER_LOGIN -ts today

  登录后复制

  虽然配置

  auditd

  登录后复制
  需要一些学习成本，但它提供的粒度之细，是其他命令无法比拟的。在需要满足合规性要求或者进行深度安全调查时，它就是我的秘密武器。

这些命令共同构成了一个强大的监控工具集。仅仅知道谁登录了是不够的，你需要一个全景图来确保系统安全和性能。它们就像你的“眼睛”和“耳朵”，帮你捕捉系统中的每一个细微变化。

以上就是Linux命令行如何查看登录用户的详细内容，更多请关注php中文网其它相关文章！