Baza wiedzy - Odczyt logów z plików wtmp, utmp, btmp – czyli dane logowań

Na pewno niektórzy z was zastanawiają się, do czego służą pliki wtmp, utmp i btmp w katalogu /var/log. Po otwarciu edytorem widzimy tylko zlepek nic nieznaczących znaków. Pliki te przetrzymują dane logowań użytkowników oraz inne logi.

• utmp – wpisy z logowaniami użytkowników, logi terminali, zdarzenia w systemie, dane jak długo system był włączony i inne
• wtmp – dane historyczne z pliku utmp
• btmp – wpisy z niepoprawnymi logowaniami do systemu

Jak możemy odczytać te pliki? Służy do tego komenda last (bez parametrów zwraca wpisy z utmp, ale można wskazać też pliki z danymi historycznymi). Wpisując w konsoli komendę:

last

Otrzymamy następujące wpisy:

root@mojserver:~# last
root     pts/0                         Sun Dec 30 19:31   still logged in
root     pts/0        1.2.3.4          Sun Dec 30 19:31 - 19:31  (00:00)
root     pts/0                         Sun Dec 30 19:19 - 19:19  (00:00)
root     pts/0         1.2.3.4         Sun Dec 30 19:19 - 19:19  (00:00)
root     pts/0                         Sun Dec 30 14:11 - 14:12  (00:01)
root     pts/0         1.2.3.4         Sun Dec 30 14:11 - 14:11  (00:00)
root     pts/0                         Sun Dec 30 14:11 - 14:11  (00:00)
root     pts/0         1.2.3.4         Sun Dec 30 14:11 - 14:11  (00:00)
root     pts/1                         Sun Dec 30 03:40 - 04:03  (00:22)
root     pts/1         1.2.3.4         Sun Dec 30 03:40 - 03:40  (00:00)
reboot   system boot   4.15.17-1-pve   Fri Dec 28 15:08 - 20:04  (04:55)

Które pokażą nam m.in. uptime systemu oraz logowania na konta. Aby otworzyć plik wtmp musimy podać go w parametrze -f:

last -f /var/log/wtmp

Tak samo dla pliku utmp

last -f /var/log/utmp

Zobaczymy wtedy dane historyczne, dzięki czemu możemy wykonać audyt bezpieczeństwa systemu, lub pozyskać inne wartościowe informacje.