誰登錄了我的伺服器？

昨天我執行了w命令。通常，輸出如下所示：

USER     TTY      FROM                  LOGIN@   IDLE   JCPU   PCPU WHAT
root     pts/0    p4...2f50.dip0.t..... 21:01    4.00s  0.05s  0.00s w

它是我用來測試我的一些項目的私人測試伺服器。唯一使用它的人是我，所以我也應該是唯一登錄它的人。但是，它顯示了以下內容：

USER     TTY      FROM             LOGIN@          IDLE   JCPU   PCPU WHAT
root     pts/0    p4...2f50.dip0.t 21:01           4.00s  0.05s  0.00s w
root     ...      p4...2f50.S:0    (8 days ago)    ...    ...    ...   /bin/bash

我添加了“…”，因為我不記得值並且不幸忘記了截圖。

重要的是，似乎有第二個人長時間登錄。我還注意到“FROM”的值非常相似。它以完全相同的數字和字母序列開頭，以.S:0or結尾:S.0（我也不記得了）。

現在，我不太了解這些值的含義。真的有其他人登錄嗎？或者它可能是我自己沒有正確關閉的“錯誤”SSH-Session？

以 .TTY 結尾的 TTY:S.0通常由screen. 最有可能的是：沒有人登錄該 shell，您只是忘記了它，連接關閉，shell 還活著。

要跟踪您的程序是如何創建的，您可以查看ps fauxww | less、鍵入/ttyname以搜尋您的 tty 名稱，您應該找到它的父程序（可能是 bash 或 sshd），以及它的子程序：

root     10307  0.2  0.0 107732  4260 ?        Ss   03:59   0:00  \_ sshd: root@pts/0    
root     10326  1.0  0.0  23240  4372 pts/0    Ss   03:59   0:00      \_ bash
root     10361  0.0  0.0  18600  1408 pts/0    R+   03:59   0:00          \_ ps fauxww
root     10362  0.0  0.0   9544   928 pts/0    S+   03:59   0:00          \_ less

或使用螢幕：

root     10326  0.1  0.0  23240  4416 pts/0    Ss   03:59   0:00      \_ bash
root     12524  0.0  0.0  26920  1116 pts/0    S+   04:00   0:00          \_ screen
root     12525  0.0  0.0  27052  1396 ?        Ss   04:00   0:00              \_ SCREEN
root     12526  0.3  0.0  23280  4464 pts/1    Ss   04:00   0:00                  \_ /bin/bash

引用自：https://serverfault.com/questions/822679