如何在Linux中查看登录用户？使用who命令列出当前登录用户信息-LINUX-PHP中文网

如何在Linux中查看登录用户？使用who命令列出当前登录用户信息

雪夜

发布： 2025-08-29 08:36:02

原创

1128人浏览过

答案：who命令用于查看当前登录系统的用户信息，包含用户名、终端类型、登录时间和来源IP或主机名，通过选项如-u、-H、-b等可获取空闲时间、PID、系统启动时间等详细信息，结合安全策略可有效监控系统活跃状态与潜在风险。

如何在linux中查看登录用户？使用who命令列出当前登录用户信息

在Linux系统中，想要快速了解当前有哪些用户正在系统上活跃，最直接且常用的方式就是使用

who

登录后复制

命令。它就像系统的一个小公告板，能即时告诉你谁在“家”里，以及他们是从哪里来的。

解决方案

要查看当前登录系统的用户信息，你只需要在终端中输入

who

登录后复制

命令，然后按下回车键。

who

登录后复制

执行这个命令后，你会看到类似这样的输出：

user1    pts/0        2023-10-27 10:30 (192.168.1.100)
user2    pts/1        2023-10-27 11:15 (my_remote_host)
root     tty1         2023-10-27 09:00

登录后复制

每一行代表一个当前登录的用户会话。这个输出简洁明了，通常包含以下几列信息：

用户名 (user)：登录系统的账户名。
终端类型 (tty/pts)：用户正在使用的终端设备。
```
tty
```
登录后复制
通常指物理终端（如直接连接到服务器的键盘和显示器），而
```
pts
```
登录后复制
（pseudo-terminal slave）则表示伪终端，通常用于SSH会话或图形界面中的终端模拟器。
登录时间 (date time)：用户登录系统的时间。
登录来源 (host/IP)：如果用户是从远程登录的，这里会显示其IP地址或主机名。本地登录通常不会显示。

这个命令的妙处在于它的即时性，能让你一眼扫过就对当前系统活跃状态有个大致的把握。我个人在需要快速确认某个远程会话是否还活跃，或者有没有异常登录时，

who

登录后复制

总是我的首选。

深入理解

who

登录后复制

命令的输出：每个字段的含义与潜在信息

当我们运行

who

登录后复制

命令时，输出的每一列数据都承载着特定的意义，理解这些细节能帮助我们更好地分析系统状态，甚至发现潜在问题。

首先是用户名，这没什么好说的，就是登录账户的标识。但接下来的终端类型就有点意思了。

tty

登录后复制

和

pts

登录后复制

的区分，其实暗示了用户的登录方式。

tty

登录后复制

通常意味着用户是直接坐在机器前面操作，或者通过串口等物理方式连接。而

pts

登录后复制

，伪终端，则几乎总是远程登录（比如SSH）或图形界面下的终端模拟器。如果你看到一个

root

登录后复制

用户登录在

pts

登录后复制

上，并且来源是一个不熟悉的IP，那可能就需要多留个心眼了。

登录时间则提供了用户会话开始的精确时刻。这个信息在排查系统资源占用问题时很有用，比如某个用户会话长时间存在，却一直没有活动，这可能意味着他们忘记登出，或者某个脚本挂起了。

最后是登录来源，这可能是IP地址或主机名。这是安全审计中非常关键的一环。我曾经遇到过一个情况，通过

who

登录后复制

命令发现一个来自公司外部IP的登录，虽然很快被证明是运维同事在远程调试，但也给我敲响了警钟。对于这些日志的日常检查，真的不能掉以轻心。它能帮助你识别是否有未经授权的登录尝试，或者至少能让你知道用户是从哪里连接到系统的。

如何利用

who

登录后复制

命令的选项获取更详细的用户信息？

who

登录后复制

命令并非只有一种用法，它带有一些选项，可以让我们获取到更细致、更有针对性的信息。这就像是给一个简单的工具加上了几个额外的透镜，能看到更多维度的数据。

```
who -u
```
登录后复制
(或
--users
登录后复制
)：这个选项会显示用户列表，包括每个用户的空闲时间（idle time）和进程ID（PID）。空闲时间以小时和分钟显示，如果显示为
```
.
```
登录后复制
，则表示该会话在最近一分钟内有活动。
```
who -u
```
登录后复制
输出可能包含类似
```
user1    pts/0        2023-10-27 10:30   .     1234 (192.168.1.100)
```
登录后复制
的内容，其中
```
.
```
登录后复制
表示最近活跃，如果是一个数字，比如
```
00:05
```
登录后复制
，则表示空闲了5分钟。我记得有一次，我就是用
```
who -u
```
登录后复制
发现一个长时间处于空闲状态的会话，才意识到某个服务配置可能出了问题，导致用户会话没有正常退出。

Eva Design System
基于深度学习的色彩生成器

86

查看详情
```
who -H
```
登录后复制
(或
--heading
登录后复制
)：只是简单地在输出顶部添加一个标题行，让各列的含义一目了然。对于不熟悉
```
who
```
登录后复制
输出的人来说，这很有帮助。
```
who -H
```
登录后复制
```
who -b
```
登录后复制
(或
--boot
登录后复制
)：这个选项会显示系统最后一次启动的时间。虽然不是直接的用户信息，但对于理解系统运行周期，以及判断某个用户会话是否跨越了系统重启很有用。
```
who -b
```
登录后复制
```
who -r
```
登录后复制
(或
--runlevel
登录后复制
)：显示当前系统的运行级别。这对于系统管理员来说，是了解系统当前状态的一个快速指标。
```
who am i
```
登录后复制
或
whoami
登录后复制
：
```
who am i
```
登录后复制
会显示你当前登录会话的信息，而
```
whoami
```
登录后复制
则仅仅输出你的用户名。虽然它们看起来相似，但
```
who am i
```
登录后复制
提供的信息更丰富，包括你的终端和登录时间。

这些选项的组合使用，能让你在不同的场景下，更高效地获取所需的用户登录信息，从而做出更准确的判断。

查看登录用户信息的潜在安全风险与应对策略

虽然查看登录用户信息是日常系统管理的基本操作，但它也并非完全没有安全考量。任何信息的暴露都可能伴随着风险，即使是看起来无害的登录记录。

首先是信息泄露风险。

who

登录后复制

命令会显示登录用户的IP地址或主机名。在某些环境下，这可能暴露内部网络结构或用户位置，如果系统被未经授权的人访问，这些信息可能会被利用。想象一下，一个攻击者通过某种方式获取了系统访问权限，他可以通过

who

登录后复制

命令迅速了解有多少合法用户在线，甚至推断出这些用户的活动模式。

其次是异常登录识别。这既是风险，也是我们利用

who

登录后复制

命令进行安全审计的机会。我们可以通过

who

登录后复制

的输出，尤其结合

last

登录后复制

命令（查看历史登录记录），来识别是否有未经授权的登录。例如，看到一个不熟悉的IP地址，或者在非工作时间有高权限账户登录，这都应该立即触发警报。

who

登录后复制

命令的数据来源是

/var/run/utmp

登录后复制

文件，而历史登录信息则记录在

/var/log/wtmp

登录后复制

中。这两个文件是系统审计的关键，它们的完整性对系统安全至关重要。如果这些文件被篡改，那么我们对登录信息的判断就会出现偏差。

面对这些潜在风险，我们可以采取一系列应对策略：

定期检查登录日志：不仅仅是
```
who
```
登录后复制
的即时输出，更重要的是定期检查
```
last
```
登录后复制
命令和系统认证日志（如
```
/var/log/auth.log
```
登录后复制
或
```
secure
```
登录后复制
），以发现异常模式。
实施强密码策略和多因素认证（MFA）：这是防止未经授权访问的最基本也是最重要的防线。
限制root用户直接SSH登录：通常建议通过普通用户登录，再使用
```
sudo
```
登录后复制
切换到
```
root
```
登录后复制
权限，这能留下更清晰的审计痕迹。
使用防火墙限制SSH访问来源：只允许特定IP地址范围访问SSH端口，可以大大降低被扫描和暴力破解的风险。