linux wtmp关闭
一、基础概念
- wtmp文件
- 在Linux系统中,
/var/log/wtmp是一个二进制日志文件,用于记录用户的登录和登出事件。它包含了每个用户登录会话的开始时间、结束时间、登录设备等信息。
- 在Linux系统中,
- 关闭wtmp记录的意义
- 从安全角度看,在某些高度保密的环境中,可能不希望留下登录相关的详细历史记录,以防止信息泄露风险。另外,在一些资源受限或者对磁盘空间使用有严格控制的系统中,减少不必要的日志记录可以节省空间。
二、关闭方式及相关操作
- 修改系统配置文件(以systemd - based系统为例)
- 编辑
/etc/systemd/logind.conf文件。 - 找到
#HandleLidSwitch=这一行(如果与登录相关的设置部分),虽然这不是直接针对wtmp的设置,但与登录事件的处理相关。如果要完全关闭wtmp记录登录事件,可以在/etc/pam.d/login文件中进行修改。 - 在
/etc/pam.d/login文件中,注释掉包含pam_lastlog.so的行。通常类似这样的行:session required pam_lastlog.so showfailed。将其修改为#session required pam_lastlog.so showfailed。 - 然后重启
systemd - logind服务使配置生效:- 命令为
sudo systemctl restart systemd - logind。
- 命令为
- 编辑
- 使用命令行工具(临时关闭)
- 可以使用
touch /var/log/wtmp命令来清空wtmp文件内容,但这只是清空当前内容,并没有真正关闭记录功能。 - 如果要临时停止记录登录事件,可以使用
lastlog -u <username> -d命令将指定用户(<username>替换为实际用户名)的最后登录信息设置为“从未登录”,不过这也只是修改了最后登录信息的显示,而不是关闭记录机制。
- 可以使用
三、潜在问题及解决方法
- 审计困难
- 如果关闭了wtmp记录,可能会导致在需要追踪用户登录历史时缺乏依据。如果确实需要关闭但又担心审计问题,可以考虑定期备份wtmp文件到一个安全的、受限制的位置,然后清空原文件。
- 解决方法示例:
- 首先创建一个备份目录,如
sudo mkdir /var/log/wtmp_backup。 - 然后定期(例如每天通过cron任务)执行备份命令:
sudo cp /var/log/wtmp /var/log/wtmp_backup/$(date +%F),之后再清空原文件sudo > /var/log/wtmp。
- 首先创建一个备份目录,如
- 与其他安全机制的兼容性
- 某些安全监控工具可能依赖于wtmp文件中的信息来进行入侵检测或者合规性检查。如果关闭了wtmp记录,这些工具可能会出现误报或者无法正常工作。
- 解决方法:如果使用这类工具,需要重新评估安全策略,在关闭wtmp记录的同时调整安全监控工具的配置,使其适应新的情况。例如,可以配置工具从其他日志源(如系统日志中的登录相关条目)获取必要的信息。
相关·内容
1回答
Linux日志/var/log/wtmp根据手册页http://linux.die.net/man/5/wtmp存储许多系统事件的"utmp“事件,例如登录到它(LOGIN_PROCESS ut_type有last实用程序,它解析wtmp并打印登录到系统的人,以及何时重新启动。将信息写入wtmp日志的过程是什么?
浏览 0提问于2014-03-26得票数 2
回答已采纳
1回答
我从文件/proc/uptime获取Linux正常运行时间。从何处获取机器的上次关闭时间。如何从"c“中的wtmp文件中读取。我不想解析上一个-x命令的输出。我可以使用sysctl吗?
浏览 5提问于2016-04-29得票数 1
有什么办法做以上所有的事吗?我已经在LOG_OK_LOGINS和SYSLOG_SU_ENAB中禁用了login.defs,但仍然不知道怎么做其他的事情。
浏览 0提问于2011-08-30得票数 4
回答已采纳
1回答
通常,最后一个日志被旋转到/var/log中,作为wtmp*存储在/var/log中,但是当我在/var/ log中查看我的系统时,我只看到它前面的当前wtmp文件和wtmp*文件。我知道这个系统有不止一个wtmp日志轮转。存档或旋转的wtmp日志是否每次旋转时都会被覆盖?它被移到别的地方了吗?系统刚刚没有保存前一个月的旋转文件吗?为了澄清我最后一次wtmp轮转是10月1日,之前是9月1日。我有从10月1日到今天的日志文件,我有
浏览 0提问于2022-10-11得票数 1
回答已采纳
我正在寻找一个日志文件或任何服务来报告由于用户名/密码不匹配而失败的最新登录尝试。是否有任何这样的实用程序可用于CentOS?(内建者优先)
我的第二个问题,也是更一般的问题,我需要一个日志文件来尝试对我的服务器进行渗透。理想情况下,这个日志应该包含所有尝试,包括登录、httpd活动和其他常规的开放端口。
浏览 0提问于2012-09-22得票数 38
回答已采纳
我使用帕梅拉和JupyterHub为我的用户打开JupyterHub会话。我在CentOS 8上,我正在使用登录服务。我可以在/var/log/secure中看到和在/var/log/消息中此外,没有任何错误登录/var/log/{messages而论、安全、安全、审计/audit.log}。但是,当一个新用户成功地登录到JupyterHub时,lastlog命令仍然表示该用户从未登录过。因此,为了将信息写入/var/log/lastlog,我想我忽略了对pam_las
浏览 0提问于2020-04-21得票数 0
当涉及根用户或其他用户时,last的输出如下:我尝试过登录和注销所有用户,以查看正在捕获什么,而这仍然是输出。
浏览 0提问于2017-12-21得票数 1
4回答
我假设它从其中提取的日志文件(即/var/log/wtmp )在一定大小后会被覆盖。
我看到我也有一个wtmp.1文件,所以使用-f参数,我可以使用这个参数返回一个月前的日志。
浏览 3提问于2013-07-18得票数 4
回答已采纳
2回答
我需要使用'last‘来搜索登录到系统的用户列表,即考虑到该目录中bzcat归档文件的数量,并考虑到我在一个共享系统上,我尝试包含一个内联我尝试了以下组合,但没有成功:last -f <$(bzcat /var/log/wtmp-*)
bzcat /
浏览 9提问于2012-02-21得票数 1
在我的Linux服务器中,lastlog和wtmp文件为其他用户设置了读取权限集(664)。我们真的需要为其他用户保留读取权限吗?或者我可以将其更改为(660或640)。在其中一台服务器中,即使lastlog使用了1000 (wtmp和664),但像last这样的命令正在为非根用户工作。
浏览 0提问于2017-01-09得票数 4
回答已采纳
为什么Linux二进制文件中有一些文件?例如,/var/ log /wtmp日志?更确切地说,为什么日志是二进制形式的。
浏览 0提问于2016-09-17得票数 2
在OS X或Linux中,是否可以确定某个特定操作对文件系统造成了哪些更改?其中一些应该是不必要的。我不明白为什么我需要所有的人。
浏览 1提问于2014-01-25得票数 0
2回答
错误消息为:Perhaps this file was removed by the operator to
浏览 2提问于2012-11-24得票数 10
回答已采纳
1回答
您比我更清楚linux存储在日志文件中的任何操作,比如/var/log,我想知道在linux中是否存在自定义日志文件的情况,例如,在本例中,我是我的系统的根,我不想记录根的操作,但是其他的操作很重要,因为我想监视它们在这种情况下,只有wtmp对我很重要!
浏览 0提问于2015-06-23得票数 2
1回答
我试图用bash编写一个脚本,我打算在系统启动时开始,然后在系统关闭时结束。这个想法是为我自己创建一个系统正常运行时间跟踪器。
为此,我希望将每天的正常运行时间保存在文件中。
浏览 0提问于2021-12-18得票数 1
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
腾讯会议
云直播
对象存储活动推荐
腾讯云开发者
