Linux系统运维脚本：检查登录用户是否过多 (比如超过20个)，使用uptime，who，cron等命令查看登录用户的数量

目录

一、问题

二、解决方法

1、通过统计登录用户来发现非法入侵者

2、脚本实现登录用户数超过阈值，给出提醒

3、定期运行脚本，让提醒及时有效

一、问题

Linux的服务器放在公网上，很多人需要访问这个服务器，知道服务器的IP地址，同时服务器的ssh端口也是开放的。那么这个服务器就可能碰到一些网络攻击，比如暴力破解用户密码、拒绝服务攻击（DoS）或其他形式的网络攻击。攻击者可能会尝试使用多个用户名和密码组合来登录系统，以获取未经授权的访问。攻击者一般都比较专业，往往会攻破一些防范不严的服务器。

有时候，我们的服务器可能还会泄密，这样，攻击者会登录到我们系统，进行非法活动。

如何最快的时间发现这个问题呢？

二、解决方法

注意，以下演示的环境的系统为：CentOS Linux release 8.2.

1、通过统计登录用户来发现非法入侵者

要查看当前登录的用户数，可以使用 who | wc -l 和uptime命令

who | wc -l

或命令

uptime

实际环境演示如下：

[root@ecs-52a1 home]#
[root@ecs-52a1 home]# who
121yunwei pts/0        2024-03-10 21:39 (112.81.59.194)
121yunwei pts/3        2024-03-10 22:11 (112.81.59.194)
121yunwei pts/4        2024-03-10 22:14 (112.81.59.194)
vidisit  pts/5        2024-03-10 22:17 (112.81.59.194)
vidisit  pts/6        2024-03-10 22:18 (112.81.59.194)
vidisit  pts/7        2024-03-10 22:18 (112.81.59.194)
vidisit  pts/8        2024-03-10 22:18 (112.81.59.194)
[root@ecs-52a1 home]#
[root@ecs-52a1 home]#
[root@ecs-52a1 home]# who | wc -l
7
[root@ecs-52a1 home]#
[root@ecs-52a1 home]#
[root@ecs-52a1 home]# uptime22:48:29 up 47 days,  9:21,  7 users,  load average: 0.51, 0.54, 0.54
[root@ecs-52a1 home]#

2、脚本实现登录用户数超过阈值，给出提醒

实现当登录到系统的用户数超过一定数值（比如20个）时，系统给出提醒，可以使用 shell 脚本来完成这个任务。以下是一个简单的示例脚本：

#!/bin/bash    
# 定义最大用户数 
MAX_USERS=20  # 获取当前登录用户数 
CURRENT_USERS=$(who | wc -l)    # 检查用户数是否超过最大值 
if [ "$CURRENT_USERS" -gt "$MAX_USERS" ]; then echo "警告：当前登录用户数超过 $MAX_USERS 个！" | mail -s "用户数警告" admin@example.com # 或者你可以使用其他通知方式，比如发送短信、Slack 消息等 
fi

这个脚本首先定义了一个变量 MAX_USERS 来存储最大用户数。然后，它使用 who | wc -l 命令获取当前登录用户数，并将其存储在 CURRENT_USERS 变量中。接下来，脚本使用 if 语句检查当前用户数是否超过了最大值。如果超过了，它会使用 mail 命令发送一封包含警告信息的电子邮件给管理员（在这个例子中是 admin@example.com）。

将脚本保存到一个文件中，比如 user_limit_prompt.sh，并给它执行权限：