Каждая попытка входа в систему протоколируется в специальный файл /var/log/wtmp. Обычно туда протоколируются попытки входа с консоли или по ssh, однако, могут протоколироваться и попытки входа и для других служб, например proftpd. Если вы видите, что файл вдруг начал расти, то очень похоже, что в вашу систему пытаются войти с неправильными учётными данными, например, пытаются подобрать пароль, т.е. увеличение размера /var/log/wtmp или /var/log/btmp (файл btmp является резеврной копией wtmp) является серьёзным звонком администратору, чтобы проверить всё ли в порядке.

Сами файлы хранят информацию в бинарном виде, но её легко посмотреть командой:

last -f /var/log/wtmp

или

last -f /var/log/btmp

Если вы всё просмотрели и вам всё понятно, но вам необходимо место, занятое этими файлами, вы можете преспокойно обнулить командой:

echo -n >/var/log/wtmp

Через какое-то время они снова начнут запонятся данными.

Есть ещё также файл /var/run/utmp, который содержит информацию об активных сессиях в данный момент времени. Эту же информацию выдаёт в собственном формате команда who, но вы можете просмотреть её командой:

last -f /var/run/utmp

Хочется ещё отметить команду utmpdump, которая также может применяться к любому из файлов /var/log/wtmp, /var/log/btmp и /var/run/utmp и которая выдаёт информацию в несколько более расширенном формате.