下一步，login程序打开文件wtmp附加用户的utmp记录。当用户登录退出时，具有更新时间戳的同一utmp记录附加到文件中。wtmp文件被程序last使用。

　　/var/log/xferlog

　　该日志文件记录FTP会话，可以显示出用户向FTP服务器或从服务器拷贝了什么文件。该文件会显示用户拷贝到服务器上的用来入侵服务器的恶意程序，以及该用户拷贝了哪些文件供他使用。

　　该文件的格式为：第一个域是日期和时间，第二个域是下载文件所花费的秒数、远程系统名称、文件大小、本地路径名、传输类型（a：ASCII，b：二进制）、与压缩相关的标志或tar，或"_"（如果没有压缩的话）、传输方向（相对于服务器而言：i代表进，o代表出）、访问模式（a：匿名，g：输入口令，r：真实用户）、用户名、服务名（通常是ftp）、认证方法（l：RFC931，或0），认证用户的ID或"*"。下面是该文件的一条记录：

QUOTE:

Wed Sep 4 08:14:03 2002 1 UNIX 275531

/var/ftp/lib/libnss_files-2.2.2.so b _ o a -root@UNIX ftp 0 * c

/var/log/kernlog

　　RedHat Linux默认没有记录该日志文件。要启用该日志文件，必须在/etc/syslog.conf文件中添加一行：kern.* /var/log/kernlog 。这样就启用了向/var/log/kernlog文件中记录所有内核消息的功能。该文件记录了系统启动时加载设备或使用设备的情况。一般是正常的操作，但如果记录了没有授权的用户进行的这些操作，就要注意，因为有可能这就是恶意用户的行为。下面是该文件的部分内容：

QUOTE:

Sep 5 09:38:42 UNIX kernel: NET4: Linux TCP/IP 1.0 for NET4.0

Sep 5 09:38:42 UNIX kernel: IP Protocols: ICMP, UDP, TCP, IGMP

Sep 5 09:38:42 UNIX kernel: IP: routing cache hash table of 512 buckets, 4Kbytes

Sep 5 09:38:43 UNIX kernel: TCP: Hash tables configured (established 4096 bind 4096)

Sep 5 09:38:43 UNIX kernel: Linux IP multicast router 0.06 plus PIM-SM

Sep 5 09:38:43 UNIX kernel: NET4: Unix domain sockets 1.0/SMP for Linux NET4.0.

Sep 5 09:38:44 UNIX kernel: EXT2-fs warning: checktime reached, running e2fsck is recommended

Sep 5 09:38:44 UNIX kernel: VFS: Mounted root (ext2 filesystem).

Sep 5 09:38:44 UNIX kernel: SCSI subsystem driver Revision: 1.00

/var/log/Xfree86.x.log

　　该日志文件记录了X-Window启动的情况。另外，除了/var/log/外，恶意用户也可能在别的地方留下痕迹，应该注意以下几个地方：root 和其他账户的shell历史文件；用户的各种邮箱，如.sent、mbox，以及存放在/var/spool/mail/ 和 /var/spool/mqueue中的邮箱；临时文件/tmp、/usr/tmp、/var/tmp；隐藏的目录；其他恶意用户创建的文件，通常是以 "."开头的具有隐藏属性的文件等。

　　具体命令

　　wtmp和utmp文件都是二进制文件，它们不能被诸如tail之类的命令剪贴或合并（使用cat命令）。用户需要使用who、w、users、last和ac等命令来使用这两个文件包含的信息。

　　who命令

　　who命令查询utmp文件并报告当前登录的每个用户。who的默认输出包括用户名、终端类型、登录日期及远程主机。例如，键入who命令，然后按回车键，将显示如下内容：

QUOTE:

chyang pts/0 Aug 18 15:06

ynguo pts/2 Aug 18 15:32

ynguo pts/3 Aug 18 13:55

lewis pts/4 Aug 18 13:35

ynguo pts/7 Aug 18 14:12

ylou pts/8 Aug 18 14:15

　　如果指明了wtmp文件名，则who命令查询所有以前的记录。命令who /var/log/wtmp将报告自从wtmp文件创建或删改以来的每一次登录。

上一页  [1] [2] [3] [4] [5] 下一页

责任编辑：小草

• 红旗Linux帮助中国邮政走入寻常百姓家
  
• 改变Web十大事件，Linux居首位
  
• 资讯：Linux 2.6内核被成功移植到iPhone上
  
• 资讯：所有的Linux重大发行版都遵从IPv6标准
  
• 资讯：红帽赢来fedora10的胜利
  
• Linux与Win2000操作系统的可靠性比较
  
• 关于RHCE考试的30个主要方向
  
• 资讯：Mozilla欲推Firefox插件成主流
  
• 国人Linux发布版Hiweed 2.0 RC 3发布下载
  
• Mac、Linux及iPhone用户都可以用网络版Office
  

• 甲骨文数据库将运行到Linux平台
  
• 基于Linux与AMD显示芯片的自动小车
  
• 开源民族软件产业的责任与机遇
  
• 中国何时才能从开源消费者成为开源贡献者
  
• 金融危机下Linux销售不降反升
  
• 上网本市场兴起丰富了Linux盈利模式
  
• 大多数Linux包管理器存在安全隐患
  
• 红帽和Ubuntu挺进云计算
  
• LinuxChromium已开始支持原生GTK+主题
  
• Ubuntu8.04.3LTS已发布
  

• [红旗辅导]点评Linux难称完美的几大缺陷
• [红旗辅导]七款嵌入式Linux操作系统介绍
• [红旗辅导]使用UbuntuLiveCD安装grub
• [红旗辅导]基于Linux的AIR开始测试运行
• [红旗辅导]Ubuntu的apt命令学习
• [红旗辅导]如何判断Linux系统是否被黑?
• [红旗辅导]驱动程序开发:驱动程序基本框架
• [红旗辅导]怎样使用Putty自动登陆远程Linux主机
• [红旗辅导]关于Fedora10实用使用教程中更给源
• [红旗辅导]在Ubuntu上安装软件的方法和技巧

• Linux防火墙IPCop简介
• 国内Linux用户面临的问题
• Linux管理员新手易犯的十种错误
• 忘记FreeBSD系统root密码解决方法
• 快速构建apacheweb服务器
• Iptables防火墙详细配置
• Linux中.htaccess使用方法总结
• Linux下隐藏文件的一种新方法
• likely和unlikely宏定义
• fork.c函数部分代码分析

• Linux系统初学之学习方向和方法浅谈
• LINUX学习高手经验之谈
• 对学习RHCE的一些建议!
• 我的RHCE考试经历
• 特别推荐:RHCE考试经验
• Linux认证考试心得:RHCE考试心得
• 高手攻关考试心得:RHCE实战详细经验
• xIT-Linux认证-考试心得－bell－
• Redhat认证考试心得之二满分通过TroublesShooting
• Redhat认证考试心得之一死记硬背篇