lastb — 顯示登入失敗記錄

中級 使用者與群組管理 安全 稽核 登入 入侵偵測 更新:2026 年 5 月 20 日

顯示失敗的登入嘗試記錄,用於安全稽核和偵測攻擊。

語法

lastb [選項] [使用者名稱]

常用選項

選項 說明 範例
-n N 只顯示最近 N 條記錄 sudo lastb -n 20
-F 顯示完整時間格式(含年份) sudo lastb -F
-i 顯示 IP 而非主機名稱 sudo lastb -i

使用範例

範例 1:查看最近的登入失敗記錄

需要 root 或 sudo 才能讀取 /var/log/btmp。

$ sudo lastb -n 20
root     ssh:notty    203.0.113.100   Tue May 20 03:15 - 03:15  (00:00)
root     ssh:notty    203.0.113.100   Tue May 20 03:14 - 03:14  (00:00)
admin    ssh:notty    198.51.100.200  Tue May 20 03:00 - 03:00  (00:00)
範例 2:找出攻擊最多的 IP

統計失敗登入的來源 IP,找出暴力破解嫌疑者。

$ sudo lastb -i | awk "{print \$3}" | sort | uniq -c | sort -rn | head -10
    532 203.0.113.100
    248 198.51.100.200
     89 192.0.2.50

常見錯誤與排錯

lastb: /var/log/btmp: No such file or directory
原因
/var/log/btmp 不存在(可能從未有過失敗登入嘗試,或被清除)。
解法
這是正常情況。若需要建立:sudo touch /var/log/btmp && sudo chmod 600 /var/log/btmp
last 顯示使用者的登入歷史,包含時間、來源 IP 和登入時長。 who 顯示目前所有登入系統的使用者、終端機與登入時間。 journalctl 查詢 systemd 日誌,支援即時追蹤與多維度過濾。

延伸閱讀