У меня большие файлы /var/log/btmp, /var/log/wtmp. Что это за файлы и что с ними делать?
Каждая попытка входа в систему протоколируется в специальный файл /var/log/wtmp. Обычно туда протоколируются попытки входа с консоли или по ssh, однако, могут протоколироваться и попытки входа и для других служб, например proftpd. Если вы видите, что файл вдруг начал расти, то очень похоже, что в вашу систему пытаются войти с неправильными учётными данными, например, пытаются подобрать пароль, т.е. увеличение размера /var/log/wtmp или /var/log/btmp (файл btmp является резеврной копией wtmp) является серьёзным звонком администратору, чтобы проверить всё ли в порядке.
Сами файлы хранят информацию в бинарном виде, но её легко посмотреть командой:
last -f /var/log/wtmp
или
last -f /var/log/btmp
Если вы всё просмотрели и вам всё понятно, но вам необходимо место, занятое этими файлами, вы можете преспокойно обнулить командой:
echo -n >/var/log/wtmp
Через какое-то время они снова начнут запонятся данными.
Есть ещё также файл /var/run/utmp, который содержит информацию об активных сессиях в данный момент времени. Эту же информацию выдаёт в собственном формате команда who, но вы можете просмотреть её командой:
last -f /var/run/utmp
Хочется ещё отметить команду utmpdump, которая также может применяться к любому из файлов /var/log/wtmp, /var/log/btmp и /var/run/utmp и которая выдаёт информацию в несколько более расширенном формате.
- Войдите или зарегистрируйтесь, чтобы получить возможность отправлять комментарии
- 13449 просмотров