1，使用who命令查看当前登录状况。

如图所示，通过who命令可以查看到当前用户及ip的登录情况。

2，使用last命令查看最近登录情况。

如图所示，last命令列出最近一段时间的用户登录时间及ip记录。

3，使用lastlog命令查看各个用户登录情况

如图所示，lastlog命令列出了各个用户的登录情况，如果没有登录过，则显示Never logged in，如果有登录历史，则显示出ip及登录时间。

4，查看/var/log/auth.log文件，分析用户登录及行为。

如图所示，通过查看auth.log，可以分析出用户尝试登录情况，以及退出历史；这里也可以看出有一些非法用户尝试暴力破解或尝试相关用户密码，如果经常这样，就需要找出合理的防范措施，例如，修改默认的ssh端口号，将超级用户密码设置的更合理更复杂些，并定期做出修改等，避免被某些黑客劫持住并作为肉鸡使用，那样就够你好受的了。