1、 lastlog 列出所有用户最近登录的信息 lastlog引用的是/var/log/lastlog文件中的信息，包括login-name、port、last login time

2、last 列出当前和曾经登入系统的用户信息 ，它默认读取的是/var/log/wtmp文件的信息。输出的内容包括：用户名、终端位置、登录源信息、开始时间、结束时间、持续时间。注意最后一行输出的是wtmp文件起始记录的时间。当然也可以通过last -f参数指定读取文件，可以是/var/log/btmp、/var/run/utmp

3、lastb 列出失败尝试的登录信息 和last命令功能完全相同，只不过它默认读取的是/var/log/btmp文件的信息。当然也可以通过last -f参数指定读取文件，可以是/var/log/btmp、/var/run/utmp

4、who /var/log/wtmp查看所有已保存的登陆记录

==============================

Linux /var/log下的各种日志文件详解 1)/var/log/secure：记录登录系统存取数据的文件; 例如:pop3，ssh，telnet，ftp等都会记录在此.

2)/ar/log/btmp：记录登录这的信息记录，被编码过，所以必须以last解析; 例如:lastb | awk '{ print $3}' | sort | uniq -c | sort -nr | more

3)/var/log/message:几乎所有的开机系统发生的错误都会在此记录;

4)/var/log.boot.log：记录一些开机或者关机启动的一些服务显示的启动或者关闭的信息;

5)/var/log/maillog：记录邮件的存取和往来;

6)/var/log/cron：用来记录crontab这个服务的内容;

7)/var/log/httpd，/var/log/mysqld.log等等文件，记录几个不同的网络服务的记录文件;

8)/var/log/acpid , ACPI - Advanced Configuration and Power Interface，表示高级配置和电源管理接口。 后面的 d 表示 deamon 。 acpid 也就是 the ACPI event daemon 。 也就是 acpi 的消息进程。用来控制、获取、管理 acpi 的状态的服务程序。

9)/var/run/utmp 记录着现在登录的用户; 10)/var/log/lastlog 记录每个用户最后的登录信息; 11)/var/log/btmp 记录错误的登录尝试; 12)/var/log/dmesg内核日志; 13)/var/log/cpus CPU的处理信息； 14)/var/log/syslog 事件记录监控程序日志； 15)/var/log/auth.log 用户认证日志； 16)/var/log/daemon.log 系统进程日志； 17)/var/log/mail.err 邮件错误信息；

18)/var/log/mail.info 邮件信息；

19)/var/log/mail.warn 邮件警告信息； 20)/var/log/daemon.log 系统监控程序产生的信息; 21)/var/log/kern 内核产生的信息; 22)/var/log/lpr 行打印机假脱机系统产生的信息;

==============================

在linux系统中，用户名被存放在了/etc/passwd这个文件中；密码存放在/etc/shadow中

如果我们要查看某个用户的密码，我们得先登陆为超级用户才可查看：

查看centos中的用户和用户组 1、用户列表文件：/etc/passwd/

2、用户组列表文件：/etc/group

3、查看系统中有哪些用户：

cut -d : -f 1 /etc/passwd

4、查看可以登录系统的用户：

cat /etc/passwd | grep -v /sbin/nologin | cut -d : -f 1

5、查看用户操作：w命令(需要root权限)

6、查看某一用户：w 用户名

7、查看登录用户：who

8、查看用户登录历史记录：last

9、修改root用户密码：

passwd

10、root用户修改其他用户密码：

passwd

查看系统使用了什么加密方式。我们输入以下指令：

{用户名}：{加密后的口令密码}：{口令最后修改时间距原点(1970-1-1)的天数}：{口令最小修改间隔(防止修改口令，如果时限未到，将恢复至旧口令)：{口令最大修改间隔}：{口令失效前的警告天数}：{账户不活动天数}：{账号失效天数}：{保留}

【注】：shadow文件为可读文件，普通用户没有读写权限，超级用户拥有读写权限。如果密码字符串为*，则表示系统用户不能被登入；如果字符串为！，则表示用户名被禁用；如果字符串为空，则表示没有密码。

可以使用passwd –d 用户名 清空一个用户的口令密码。