linux user group brescia
immagine del castello

Archivio della mailing list

R: Archivio di /var/log/wtmp

Luca Coianiz lcoianiz a w3.to
Sab 28 Ott 2000 16:32:59 UTC 
>>  Se ben ricordo nel file in oggetto vengono registrati i login al sistema
>> effettuati dai vari utenti [...] prestato molta attenzione a questi
>> messaggi ma adesso mi chiedo:
>> 1) serve a qualcosa avere un archivio di wtmp risalente, ad es., al marzo
>> 2000 ?
> E' facile risponderti:
> supponi di scoprire oggi che c'e' un "intruso" che regolarmente si
> intrufola nel sistema a tua insaputa, e per qualche motivo tu vieni
> a scoprire che il suo "primo" ingresso risale alle 3 di notte
> di domenica 28 dicembre del 1999...

 Ovviamente parli di intrusi che hanno aperto un account nel sistema,
altrimenti come li riconosco ? dal fatto che c'è attività quando io non sono
loggato ?

> E ti assicuro che quanto dico non e' affatto una mia invenzione di
> fantasia!

 No, no... ti credo. :-)
 Anche perchè sto leggendo cose interessanti sull'ultimo numero di Linux&C.

> Ci sono momenti in cui uno immancabilmente dice: "mannaggia, se avessi
> tenuto il log..."

 Beh... se è per questo mi capita spesso di dire "mannaggia, se avessi
tenuto il file xyz..."  ;-)
 Non ho alcun problema a tenere i wtmp: anche se ci tengo alla pulizia
dell'HD non sono uno di quelli che butta via i file appena dopo usati.

 L'unica cosa che mi incuriosisce è il motivo per cui nel log non viene
registrata la vera attività di ogni utente.
 Qualcosa del tipo:

20001028.1750.01.25 root   starting MC
20001028.1750.01.33 sky    user logged in
20001028.1751.10.27 root   MC: open(r) file /etc/crontab
20001028.1751.20.32 sky    open(rw) file ~/mymemo
20001028.1755.03.82 root   MC: closed file /etc/crontab
20001028.1756.00.07 root   MC: open(rw) file /etc/hosts
20001028.1758.50.44 root   MC: closed+ file /etc/hosts
20001028.1758.51.82 sky    closed+ file ~/mymemo
20001028.1802.01.03 root   ending MC
20001028.1802.04.60 sky    starting ~/mymemo
20001028.1802.05.10 sky    mymemo: open(r) file ~/mymemo.files/memo.day
20001028.1802.05.12 sky    mymemo: open(r) file ~/mymemo.files/memo.week
20001028.1802.05.16 sky    mymemo: open(r) file ~/mymemo.files/memo.year
20001028.1802.25.43 root   starting /bin/cat
20001028.1802.25.45 root   cat: open(r) file /home/sky/.profile
20001028.1802.25.92 root   cat: close file /home/sky/.profile
20001028.1802.26.01 root   ending /bin/cat
20001028.1802.26.10 sky    mymemo: open(rw) file ~/mymemo.files/memo.opts
20001028.1802.35.12 sky    mymemo: closed file ~/mymemo.files/memo.opts
20001028.1802.05.10 sky    mymemo: closed file ~/mymemo.files/memo.opts
20001028.1803.02.56 root   user logged out
20001028.1803.02.15 sky    ending ~/mymemo
20001028.1804.12.20 sky    user logged out

 Sopra ho riportato c.ca 15' di attività CON le azioni principali di due
utenti (root e sky) che lavorano in contemporanea: uno lancia Midnight
Commander, tramite il quale visualizza prima /etc/crontab ed in seguito
modifica /etc/hosts, poi lancia un cat sul .profile di Sky, gli da
un'occhiata ed esce dal sistema.
 L'altro user comincia con l'editare il suo script mymemo, lo lancia,
visualizza qualche parametro nelle sue opzioni (dall'interno di mymemo), lo
chiude ed esce anch'esso.

 Come vedi NON vengono registrate operazioni "atomiche" (che impegnerebbero
troppo il sistema), ma si capisce quello che è successo molto di più che
guardando in /var/log/messages.

 Dici che è possibile attivare questo genere di livello di logging sul
sistema ? quanto potrebbe pesare ? (io penso abbastanza poco: 1-2%)

 Ah... quanto sopra NON l'ho inventato io: è più o meno quel che si vede nel
log di un sistema IBM S/390 in attività (anche se lì c'è parecchio più
traffico). Per di più ogni sottosistema di una certa entità mantiene il suo
file di log contenente, spesso, maggiori dettagli (in modo da lasciare più
scarico il logger principale).

>> 2) cosa mi può venire a mancare se, semplicemente, lo cancello invece di
>> archiviarlo da qualche parte ?
> Nulla che serva a far andare il sistema, e' puramente una questione di
> "diario di bordo" o "scatola nera" degli aerei.

 Ci avevo pensato infatti. Ma come "scatola nera" non pensi che registri un
pò poco ?

 Grazie comunque dei consigli e, nello specifico, del parere.

        Bye
        Sky

Maggiori informazioni sulla lista Lug