R: Archivio di /var/log/wtmp
Luca Coianiz
lcoianiz a w3.to
Sab 28 Ott 2000 16:32:59 UTC
>> Se ben ricordo nel file in oggetto vengono registrati i login al sistema
>> effettuati dai vari utenti [...] prestato molta attenzione a questi
>> messaggi ma adesso mi chiedo:
>> 1) serve a qualcosa avere un archivio di wtmp risalente, ad es., al marzo
>> 2000 ?
> E' facile risponderti:
> supponi di scoprire oggi che c'e' un "intruso" che regolarmente si
> intrufola nel sistema a tua insaputa, e per qualche motivo tu vieni
> a scoprire che il suo "primo" ingresso risale alle 3 di notte
> di domenica 28 dicembre del 1999...
Ovviamente parli di intrusi che hanno aperto un account nel sistema,
altrimenti come li riconosco ? dal fatto che c'è attività quando io non sono
loggato ?
> E ti assicuro che quanto dico non e' affatto una mia invenzione di
> fantasia!
No, no... ti credo. :-)
Anche perchè sto leggendo cose interessanti sull'ultimo numero di Linux&C.
> Ci sono momenti in cui uno immancabilmente dice: "mannaggia, se avessi
> tenuto il log..."
Beh... se è per questo mi capita spesso di dire "mannaggia, se avessi
tenuto il file xyz..." ;-)
Non ho alcun problema a tenere i wtmp: anche se ci tengo alla pulizia
dell'HD non sono uno di quelli che butta via i file appena dopo usati.
L'unica cosa che mi incuriosisce è il motivo per cui nel log non viene
registrata la vera attività di ogni utente.
Qualcosa del tipo:
20001028.1750.01.25 root starting MC
20001028.1750.01.33 sky user logged in
20001028.1751.10.27 root MC: open(r) file /etc/crontab
20001028.1751.20.32 sky open(rw) file ~/mymemo
20001028.1755.03.82 root MC: closed file /etc/crontab
20001028.1756.00.07 root MC: open(rw) file /etc/hosts
20001028.1758.50.44 root MC: closed+ file /etc/hosts
20001028.1758.51.82 sky closed+ file ~/mymemo
20001028.1802.01.03 root ending MC
20001028.1802.04.60 sky starting ~/mymemo
20001028.1802.05.10 sky mymemo: open(r) file ~/mymemo.files/memo.day
20001028.1802.05.12 sky mymemo: open(r) file ~/mymemo.files/memo.week
20001028.1802.05.16 sky mymemo: open(r) file ~/mymemo.files/memo.year
20001028.1802.25.43 root starting /bin/cat
20001028.1802.25.45 root cat: open(r) file /home/sky/.profile
20001028.1802.25.92 root cat: close file /home/sky/.profile
20001028.1802.26.01 root ending /bin/cat
20001028.1802.26.10 sky mymemo: open(rw) file ~/mymemo.files/memo.opts
20001028.1802.35.12 sky mymemo: closed file ~/mymemo.files/memo.opts
20001028.1802.05.10 sky mymemo: closed file ~/mymemo.files/memo.opts
20001028.1803.02.56 root user logged out
20001028.1803.02.15 sky ending ~/mymemo
20001028.1804.12.20 sky user logged out
Sopra ho riportato c.ca 15' di attività CON le azioni principali di due
utenti (root e sky) che lavorano in contemporanea: uno lancia Midnight
Commander, tramite il quale visualizza prima /etc/crontab ed in seguito
modifica /etc/hosts, poi lancia un cat sul .profile di Sky, gli da
un'occhiata ed esce dal sistema.
L'altro user comincia con l'editare il suo script mymemo, lo lancia,
visualizza qualche parametro nelle sue opzioni (dall'interno di mymemo), lo
chiude ed esce anch'esso.
Come vedi NON vengono registrate operazioni "atomiche" (che impegnerebbero
troppo il sistema), ma si capisce quello che è successo molto di più che
guardando in /var/log/messages.
Dici che è possibile attivare questo genere di livello di logging sul
sistema ? quanto potrebbe pesare ? (io penso abbastanza poco: 1-2%)
Ah... quanto sopra NON l'ho inventato io: è più o meno quel che si vede nel
log di un sistema IBM S/390 in attività (anche se lì c'è parecchio più
traffico). Per di più ogni sottosistema di una certa entità mantiene il suo
file di log contenente, spesso, maggiori dettagli (in modo da lasciare più
scarico il logger principale).
>> 2) cosa mi può venire a mancare se, semplicemente, lo cancello invece di
>> archiviarlo da qualche parte ?
> Nulla che serva a far andare il sistema, e' puramente una questione di
> "diario di bordo" o "scatola nera" degli aerei.
Ci avevo pensato infatti. Ma come "scatola nera" non pensi che registri un
pò poco ?
Grazie comunque dei consigli e, nello specifico, del parere.
Bye
Sky
Maggiori informazioni sulla lista
Lug
|