Questo articolo si concentra su tre file Linux: UTMP, WTMP e BTMP. La registrazione è una parte cruciale in qualsiasi sistema operativo basato su Linux. Vengono mantenuti i record di accessi e login nel sistema e non così come i tentativi di accesso non riusciti. In questo articolo, spiegheremo il file binario incaricato di mantenere i record degli accessi, dei dischi e dei tentativi di accesso cattivi/non riusciti. Lo scopo di questi record è di fornire al sistema operativo Linux e all'applicazione una sequenza temporale o uno schema delle circostanze che possono portare a soluzioni per eventuali problemi di risoluzione dei problemi che possono verificarsi. Questi record sono tutti accettati nei tre file in Linux.
Quali sono i file UTMP, WTMP e BTMP in Linux?
UTMP, WTMP e BTMP sono file binari specifici che registrano i login, i logout e i tentativi di accesso sul sistema Linux. Quando utilizziamo un comando specifico, ci aiuta a trovare la cronologia di chi ha effettuato l'accesso, quando hanno registrato che include il giorno, la data e il timestamp e da dove qualcuno ha effettuato l'accesso al sistema Linux che include quale server è stato utilizzato e la posizione del terminale attraverso il quale l'utente ha acceduto al sistema.
File UTMP
La "U" in UTMP sta per l'utente in quanto registra le informazioni su "Who" hanno effettuato l'accesso al sistema. Questo registro mostra anche la posizione dei terminali attraverso la quale è stato effettuato il sistema. È un file binario che gestisce gli utenti che hanno effettuato l'accesso al sistema e registra tutti gli account come lo stato corrente del sistema, la gestione e la registrazione degli accessi degli utenti, i dischi, i terminali degli accessi, ecc. Questi file non sono semplici file di testo ma sono in forma binaria e di solito sono archiviati AT/VAR/RUN/UTMP.
Esempio 1:
Se eseguiamo un comando "Who" nel terminale, le informazioni di accesso vengono recuperate da/var/run/UTMP e quindi le informazioni registrate come lo stato di accesso corrente, il terminale di accesso, il logout, ecc. Vedi la seguente immagine del comando menzionato e come mostra il registro:
Dopo aver scritto il comando "Who" ed eseguirlo, otteniamo il seguente risultato:
Qui, i risultati ci mostrano l'ID dell'utente, l'ora e la sua data di accesso, nonché l'ID del server. Questi registri sono necessari per tutti i sistemi operativi Linux in quanto aiutano a identificare la causa di qualsiasi problema che può sorgere.
File WTMP
La "W" in WTMP sta per "chi", il che significa che ci dice chi è l'utente e "quando" l'utente ha effettuato l'accesso e disconnesso; È tutta la cronologia dell'utente di UTMP. La cronologia si trova at/var/log/wtmp e mostra tutti i dati registrati passati di accesso e loguut. Poiché WTMP registra tutti i dati di accesso e disconnesso dell'utente, si può dire che preserva o mantiene tutte le azioni e i comandi di UTMP. Il suo comando è "W" che mostra fondamentalmente i dettagli di accesso dell'utente e la cronologia.
Esempio 2:
Come abbiamo appreso che WTMP è fondamentalmente un record per il file UTMP, se inseriamo il comando: ultimo -f/var/log/wtmp, visualizza l'elenco degli accessi e i tempi di logout e mostra il nome utente e l'indirizzo IP del sistema. Fare riferimento alla seguente screenshot per vedere come il comando menzionato mostra i record di registro:
Di seguito è riportato l'output che otteniamo quando diamo il comando al sistema:
Come si può vedere nell'output, quando viene fornito il comando, genera il report degli accessi del sistema e delle disconnezioni. Questo output mostra i timestamp, i giorni e le date, nonché lo stato del sistema come se l'utente è ancora effettuato, è il sistema ancora in esecuzione o si è arrestato in blocco, ha l'utente disconnersi o ha chiuso.
File BTMP
La "B" in BTMP è per "cattivo" in quanto registra tutti i tentativi di accesso cattivi, falliti o di errore. È simile al file WTMP in quanto registra e mantiene i tentativi di accesso non riusciti o cattivi e si trova in/var/log/btmp. Poiché registra i tentativi non riusciti di accesso, può essere utilizzato anche per scopi di sicurezza. Il file BTMP si basa in/var/log/btmp e viene generato automaticamente non appena il sistema si avvia. I privilegi sudo sono tenuti ad accedere al file e il comando "lastb" è leggere i file. Si può vedere nell'esempio 3 che quando viene eseguito il comando LastB, il sistema fa emergere la cronologia dei dati che mostra i tentativi di accesso non riusciti o cattivi.
Esempio 3:
La cronologia dei tentativi di accesso non riusciti può essere visualizzata inserendo il comando "lastb". Questo comando, quando viene fornito, mostra tutti i dati relativi ai tentativi falliti o ai cattivi tentativi di accedere al sistema insieme a quale server è stato utilizzato. Il server può essere locale o remoto a seconda della posizione degli utenti.
Di seguito è riportato lo screenshot allegato del comando per visualizzare i record di tentativi di accesso in Linux.
Dopo aver inserito il comando, premere Invio per eseguirlo. L'output del comando precedente è il seguente:
Qui, l'output mostra il giorno, la data e l'ora del tentativo di accesso nel sistema. BTMP è un file necessario in quanto registra i tentativi di accesso non riusciti. Dato che sono registrati in tali dettagli, aiuta anche con la sicurezza.
Conclusione
Questo articolo è una breve e semplice revisione dei tre file di registro che registrano l'attività nel sistema in Linux. Qui, abbiamo discusso ed esplorato i file UTMP, i file WTMP e i file BTMP in Linux. Abbiamo anche imparato a distinguere tra questi tre file e per quale scopo vengono utilizzati. Questi tre file contengono i dati degli accessi e del logout, nonché i record della posizione dei server attraverso i quali un utente ha effettuato l'accesso, sia dal server locale che da un server remoto. Con l'aiuto di questi tre file, possiamo tracciare qualsiasi fonte che possa causare i problemi di risoluzione dei problemi. Se non hai familiarità con questi file, questo articolo fornisce spiegazioni semplici e facili per eliminare questi file per cancellare e approfondire i tuoi concetti. Per una migliore comprensione di questi concetti, puoi anche eseguire i comandi sul tuo sistema e vedere cosa significa l'output.