昨天我跑了w命令。 通常情况下,输出如下所示:
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT root pts/0 p4...2f50.dip0.t..... 21:01 4.00s 0.05s 0.00sw
这是我用来testing我的一些项目的私人testing服务器。 唯一使用它的人是我,所以我也应该是唯一login的人。 但是,它显示了以下内容:
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT root pts/0 p4...2f50.dip0.t 21:01 4.00s 0.05s 0.00sw root ... p4...2f50.S:0 (8 days ago) ... ... ... /bin/bash
我添加了“…”,因为我不记得值,忘记了不幸的截图。
重要的是,似乎有一个很长一段时间login第二人。 我也注意到“FROM”的值非常相似。 它开始于完全相同的数字和字母序列,以.S:0或:S.0 (我也不记得了)。
现在,我不太了解这些价值的含义。 是否真的有人login? 或者它可能是一个“窃听”的SSH会话,是不是自己正确closures?
以:S.0结尾的TTY通常由screen创build。 最有可能的是:没有人login该shell,你只是忘记了,连接closures,shell仍然活着。
要跟踪您的stream程是如何创build的,您可以查看ps fauxww | less input/ttyname来search你的tty名字,你应该find它的父进程(可能是一个bash或者sshd)和它的subprocess:
root 10307 0.2 0.0 107732 4260 ? Ss 03:59 0:00 \_ sshd: root@pts/0 root 10326 1.0 0.0 23240 4372 pts/0 Ss 03:59 0:00 \_ bash root 10361 0.0 0.0 18600 1408 pts/0 R+ 03:59 0:00 \_ ps fauxww root 10362 0.0 0.0 9544 928 pts/0 S+ 03:59 0:00 \_ less
或与屏幕:
root 10326 0.1 0.0 23240 4416 pts/0 Ss 03:59 0:00 \_ bash root 12524 0.0 0.0 26920 1116 pts/0 S+ 04:00 0:00 \_ screen root 12525 0.0 0.0 27052 1396 ? Ss 04:00 0:00 \_ SCREEN root 12526 0.3 0.0 23280 4464 pts/1 Ss 04:00 0:00 \_ /bin/bash