在我的 Linux 服务器中,lastlog 和 wtmp 文件已为其他用户设置了读取权限 (664)。我们真的需要保留其他用户的读取权限吗?或者我可以将其更改为 (660 或 640) 吗?它是否会影响服务器中的任何内容,例如某些命令执行等?
在其中一台服务器中,即使lastlog为000(wtmp为664),像last这样的命令也为非root用户工作。
答案1
对于文件/var/log/wtmp,组的读写权限utmp 是允许其将登录、注销信息写入该文件。将其更改为readonlyfor group 将影响此过程。
的读访问others是在执行诸如 之类的命令时读取文件last,who这些命令依赖于wtmplog。如果撤销此读取,这些命令将抛出 Permission Denied 错误,除非由root或执行sudo user。
/var/log/lastlog用于lastlog命令,修改该文件的权限lastlog仅对于命令会导致类似的错误。
答案2
此类文件中没有私人信息,我发现对于查找哪些用户已登录以及他们何时登录我的计算机(活动用户)很有用,例如在重新启动之前。
我可以构建相同的信息(不太精确)来寻找流程(考虑top或ps)。只是 IP 地址不存在,但用户可能还是可以发现它。