我维护着一个 Debian 多功能服务器,并且我是唯一的管理员。last每次 ssh 进入服务器时,我都会执行该 命令,以检查我是否识别出每个使用过其服务的用户以及他们是否被允许。当然,我对其进行了自己的自定义安全修改,以确保其在互联网上的安全。
昨晚我执行命令,发现日志已经完全被删除,服务器上没有任何用户的条目。当我上次运行时,通常会输出超过 15 行关于谁使用该系统的信息,但这次只有一行是我自己。我才开始使用last大约几个月。我阅读了它的手册页,但它没有说明它在一段时间后会自行重置。难道是我的服务器被黑了??合法访问该服务器的唯一方法是通过我自己的私人 openvpn 服务器。
答案1
当数据文件被删除时,它会重置,例如,许多计算机上的每月任务。 last读到wtmp。在执行此操作的系统上,通常会重命名现有的wtmp以保留它(一段时间),您可以阅读那last通过提供-f具有相应文件名的选项来使用文件。
进一步阅读:
- 了解 /etc/logrotate.conf 中对 /var/log/wtmp 的引用
- 日志文件轮换设置提示您应该阅读
/etc/logrotate.conf