linux wtmp关闭

一、基础概念

1. wtmp文件
   • 在Linux系统中，/var/log/wtmp是一个二进制日志文件，用于记录用户的登录和登出事件。它包含了每个用户登录会话的开始时间、结束时间、登录设备等信息。

• 关闭wtmp记录的意义
  • 从安全角度看，在某些高度保密的环境中，可能不希望留下登录相关的详细历史记录，以防止信息泄露风险。另外，在一些资源受限或者对磁盘空间使用有严格控制的系统中，减少不必要的日志记录可以节省空间。

二、关闭方式及相关操作

1. 修改系统配置文件（以systemd - based系统为例）
   • 编辑/etc/systemd/logind.conf文件。
   • 找到#HandleLidSwitch=这一行（如果与登录相关的设置部分），虽然这不是直接针对wtmp的设置，但与登录事件的处理相关。如果要完全关闭wtmp记录登录事件，可以在/etc/pam.d/login文件中进行修改。
   • 在/etc/pam.d/login文件中，注释掉包含pam_lastlog.so的行。通常类似这样的行：session required pam_lastlog.so showfailed。将其修改为#session required pam_lastlog.so showfailed。
   • 然后重启systemd - logind服务使配置生效：
     • 命令为sudo systemctl restart systemd - logind。

• 使用命令行工具（临时关闭）
  • 可以使用touch /var/log/wtmp命令来清空wtmp文件内容，但这只是清空当前内容，并没有真正关闭记录功能。
  • 如果要临时停止记录登录事件，可以使用lastlog -u <username> -d命令将指定用户（<username>替换为实际用户名）的最后登录信息设置为“从未登录”，不过这也只是修改了最后登录信息的显示，而不是关闭记录机制。

三、潜在问题及解决方法

1. 审计困难
   • 如果关闭了wtmp记录，可能会导致在需要追踪用户登录历史时缺乏依据。如果确实需要关闭但又担心审计问题，可以考虑定期备份wtmp文件到一个安全的、受限制的位置，然后清空原文件。
   • 解决方法示例：
     • 首先创建一个备份目录，如sudo mkdir /var/log/wtmp_backup。
     • 然后定期（例如每天通过cron任务）执行备份命令：sudo cp /var/log/wtmp /var/log/wtmp_backup/$(date +%F)，之后再清空原文件sudo > /var/log/wtmp。

• 与其他安全机制的兼容性
  • 某些安全监控工具可能依赖于wtmp文件中的信息来进行入侵检测或者合规性检查。如果关闭了wtmp记录，这些工具可能会出现误报或者无法正常工作。
  • 解决方法：如果使用这类工具，需要重新评估安全策略，在关闭wtmp记录的同时调整安全监控工具的配置，使其适应新的情况。例如，可以配置工具从其他日志源（如系统日志中的登录相关条目）获取必要的信息。