免责声明: 本文档可能包含第三方产品信息,该信息仅供参考。阿里云对第三方产品的性能、可靠性以及操作可能带来的潜在影响,不做任何暗示或其他形式的承诺。
概述
通过查看阿里云ECS实例的远程登录信息,可以有效的进行故障定位和安全分析,本文主要介绍如何查看阿里云ECS实例的远程登录信息。
详细信息
阿里云提醒您:
- 如果您对实例或数据有修改、变更等风险操作,务必注意实例的容灾、容错能力,确保数据安全。
- 如果您对实例(包括但不限于ECS、RDS)等进行配置与数据修改,建议提前创建快照或开启RDS日志备份等功能。
- 如果您在阿里云平台授权或者提交过登录账号、密码等安全信息,建议您及时修改。
不同操作系统查看远程登录信息的方法不同,请根据现场实际情况,选择下列对应的步骤。
Linux实例查看远程登录信息的方法
- 通过管理终端连接Linux实例,详情请参见连接方式概述。
- 使用root用户执行以下命令,查看远程登录Linux实例的客户端的信息。
last
系统显示类似如下,可查看客户端名称和客户端地址,及事件记录时间等信息,通过该信息分析服务器是否存在安全隐患。说明:若发现异常客户端登录实例,可通过只允许特定IP地址远程登录到实例,详见安全组应用案例的只允许特定IP地址远程登录到实例章节。
说明:下列内容为
last命令输出结果的注解:- 第一列:用户名。
- 第二列:登录终端,若为
pts/0表示伪终端指ssh命令或telnet命令远程连接用户,tty指本地连接用户。 - 第三列:登录IP地址或者内核 。若为0.0或无内容,表示用户从本地终端连接。除重启操作,内核版本会显示在状态中。
- 第四列:开始时间。
- 第五列:结束时间(
still logged in状态:用户未退出,down状态:直到正常关机,crash状态:直到强制关机)。 - 第六列:持续时间。
Windows系统查看远程登录信息的方法
- 通过管理终端连接Windows实例,详情请参见连接方式概述。
- 选择开始,右键单击运行,在运行框中输入eventvwr.msc,单击确定。
- 打开事件查看器页面,依次选择Windows 日志>安全,单击筛选当前日志。
- 在筛选当前日志页面,在所有事件 ID框中输入4648,单击确定,系统会列出符合筛选条件的日志,双击对应的事件日志。
- 在事件属性页面,单击详细信息,可查看客户端名称和客户端地址,及事件记录时间等信息,通过该信息分析服务器是否存在安全隐患。
说明:若发现异常客户端登录实例,可通过只允许特定IP地址远程登录到实例,详见安全组应用案例的只允许特定IP地址远程登录到实例章节。
说明:
- IpAddress字段为远程登录过该Windows实例的客户端的IP地址。
- IpPort字段为远程登录过该Windows实例的客户端的端口。
适用于
- 云服务器ECS
文档内容是否对您有帮助?