utmp和wtmp文件

最新推荐文章于 2023-12-04 21:57:40 发布
最新推荐文章于 2023-12-04 21:57:40 发布
阅读量1.6k 收藏 1
点赞数
 /var/run/utmp   --  database of currently logged-in users
 /var/log/wtmp  --  database of past user logins

utmp文件中保存的是当前正在本系统中的用户的信息。
wtmp文件中保存的是登录过本系统的用户的信息。

他们保存的信息是基于下面的结构体 struct utmp的(/usr/include/bits/utmp.h):

  2. /* The structure describing the status of a terminated process. This
  3.    type is used in `struct utmp' below. */
  4. struct exit_status
  5. {
  6.     short int e_termination;  /* Process termination status. */
  7.     short int e_exit;         /* Process exit status. */
  8. };


  11. /* The structure describing an entry in the user accounting database. */
  12. struct utmp
  13. {
  14.   short int ut_type;          /* Type of login. */
  15.   pid_t ut_pid;               /* Process ID of login process. */
  16.   char ut_line[UT_LINESIZE];  /* Devicename. */
  17.   char ut_id[4];              /* Inittab ID. */
  18.   char ut_user[UT_NAMESIZE];  /* Username. */
  19.   char ut_host[UT_HOSTSIZE];  /* Hostname for remote login. */
  20.   struct exit_status ut_exit; /* Exit status of a process marked as DEAD_PROCESS. */

  22. /* The ut_session and ut_tv fields must be the same size when compiled
  23.    32- and 64-bit. This allows data files and shared memory to be
  24.    shared between 32- and 64-bit applications. */

  26. #if __WORDSIZE == 64 && defined __WORDSIZE_COMPAT32
  27.   int32_t ut_session;         /* Session ID, used for windowing. */
  28.   struct
  29.   {
  30.     int32_t tv_sec;           /* Seconds. */
  31.     int32_t tv_usec;          /* Microseconds. */
  32.   } ut_tv;                    /* Time entry was made. */
  33. #else
  34.   long int ut_session;        /* Session ID, used for windowing. */
  35.   struct timeval ut_tv;       /* Time entry was made. */
  36. #endif

  38.   int32_t ut_addr_v6[4];      /* Internet address of remote host. */
  39.   char __unused[20];          /* Reserved for future use. */
  40. };
/*  Values for the `ut_type' field of a `struct utmp'.   */
#define EMPTY           0       /* No valid user accounting information.  */

#define RUN_LVL         1       /* The system's runlevel.  */
#define BOOT_TIME       2       /* Time of system boot.   */
#define NEW_TIME        3       /* Time after system clock changed.   */
#define OLD_TIME        4       /* Time when system clock changed.   */

#define INIT_PROCESS    5       /* Process spawned by the init process.   */
#define LOGIN_PROCESS   6       /* Session leader of a logged in user.   */
#define USER_PROCESS    7       /* Normal process.   */
#define DEAD_PROCESS    8       /* Terminated process.   */

#define ACCOUNTING      9

而读取和修改这些文件的函数如下:
  1. #include <utmp.h>

  3. struct utmp *getutent(void);
  4. struct utmp *getutid(struct utmp *ut);
  5. struct utmp *getutline(struct utmp *ut);

  7. struct utmp *pututline(struct utmp *ut);

  9. void setutent(void);
  10. void endutent(void);

  12. int utmpname(const char *file);
utmpname()函数设定utmp文件所在的路径,默认的路径为宏 _PATH_UTMP,该宏定义在/usr/include/paths.h中:
  1. #define _PATH_UTMP "/var/run/utmp"
setutent()函数打开文件utmp,并且将文件指针指向文件的最开始。
getutent()函数从文件utmp中,每次读取一个struct utmp的结构体。读取失败返回NULL。
endutent()函数关闭文件utmp。
pututline()函数将一个struct utmp结构体写进文件utmp中。

下面根据这些知识写一个模仿Linux下的who命令的小程序。
  1. #include <stdio.h>
  2. #include <stdlib.h>
  3. #include <utmp.h>
  4. #include <time.h>

  6. int main()
  7. {
  8.         struct utmp *p_utent;
  9.         long t;

  11.         setutent(); /* rewinds the file pointer to the beginning of the utmp file */
  12.         while((p_utent = getutent()) != NULL){
  13.                 if(p_utent->ut_type != USER_PROCESS)
  14.                         continue;
  15.                 printf("%s\t", p_utent->ut_user);
  16.                 printf("%s\t", p_utent->ut_line);
  17.                 t = p_utent->ut_tv.tv_sec;
  18.                 printf("%.20s\t", ctime(&t) + 4);
  19.                 printf("(%s)\n", p_utent->ut_host);

  21.         }
  22.         endutent(); /* closes the utmp file. */

  24.         return 0;
  25. }
运行结果:
digdeep@ubuntu:~/uulp$ ./who2
digdeep tty7 Sep 15 15:24:54 2011 (:0)
digdeep pts/0 Sep 15 15:25:14 2011 (:0.0)
digdeep pts/1 Sep 15 16:06:24 2011 (:0.0)
digdeep pts/2 Sep 15 16:07:21 2011 (:0.0)
digdeep pts/3 Sep 15 16:10:41 2011 (:0.0)

在上面的程序中增加一条语句,就可以读取曾经登录过本系统的用户信息:
  1. #include <stdio.h>
  2. #include <stdlib.h>
  3. #include <utmp.h>
  4. #include <time.h>

  6. int main()
  7. {
  8.         struct utmp *p_utent;
  9.         long t;

  11.         utmpname(_PATH_WTMP); /* #define _PATH_WTMP "/var/log/wtmp" */

  13.         setutent(); /* rewinds the file pointer to the beginning of the utmp file */
  14.         while((p_utent = getutent()) != NULL){
  15.                 if(p_utent->ut_type != USER_PROCESS)
  16.                         continue;
  17.                 printf("%s\t", p_utent->ut_user);
  18.                 printf("%s\t", p_utent->ut_line);
  19.                 t = p_utent->ut_tv.tv_sec;
  20.                 printf("%.20s\t", ctime(&t) + 4);
  21.                 printf("(%s)\n", p_utent->ut_host);

  23.         }
  24.         endutent(); /* closes the utmp file. */

  26.         return 0;
  27. }
上面红色的语句就是新增的。
运行结果如下:
digdeep tty7 Sep  3 13:58:24 2011 (:0)
digdeep pts/0 Sep  3 13:58:30 2011 (:0.0)
digdeep tty7 Sep  3 22:00:31 2011 (:0)
digdeep pts/0 Sep  3 22:00:41 2011 (:0.0)
digdeep pts/1 Sep  3 22:13:42 2011 (:0.0)
digdeep tty7 Sep  4 15:19:10 2011 (:0)
digdeep pts/0 Sep  4 15:19:28 2011 (:0.0)
digdeep pts/1 Sep  4 15:19:51 2011 (:0.0)
digdeep tty7 Sep  5 10:31:59 2011 (:0)
digdeep pts/0 Sep  5 10:32:05 2011 (:0.0)
digdeep pts/1 Sep  5 14:47:23 2011 (:0.0)
digdeep pts/2 Sep  5 16:47:00 2011 (:0.0)
... ...
在上面哪些函数是非线程安全的,不可重入的,因为它们 将返回结果保存在一个static变量中,可以被后面相同的调用所覆盖。
对应可重入的版本如下:
  1. #define _GNU_SOURCE /* or _SVID_SOURCE or _BSD_SOURCE */
  2. #include <utmp.h>

  4. int getutent_r(struct utmp *ubuf, struct utmp **ubufp);
  5. int getutid_r(struct utmp *ut, struct utmp *ubuf, struct utmp **ubufp);
  6. int getutline_r(struct utmp *ut, struct utmp *ubuf, struct utmp **ubufp);







Linux中utmp结构定义如下:
structutmp
{
short int ut_type;                                        // 登录类型
pid_t ut_pid;                                               // login进程的pid
char ut_line[UT_LINE_SIZE];                   // 登录装置名,省略了"/dev/"
char ut_id[4];                                 // Inittab ID
char ut_user[UT_NAMESIZE];                // 登录账号
char ut_host[UT_HOSTSIZE];                 // 登录账号的远程主机名称
struct exit_status ut_exit;                      // 当类型为DEAD_PROCESS时进程的结束状态
long int ut_session;                      // SessionID
struct timeval ut_tv;                               // 时间记录
int32_t ut_addr_v6[4];                          // 远程主机的网络地址
char __unused[20];                                // 保留未使用
};
ut_type有以下几种类型:
EMPTY
此为空的记录
RUN_LVL
记录系统run-level的改变
BOOT_TIME
记录系统开机时间
NEW_TIME
记录系统时间改变后的时间
OLD_TIME
记录当改变系统时间时的时间
INIT_PROCESS
记录一个由init衍生出来的进程
LOGIN_PROCESS
记录login进程
USER_PROCESS
记录一般进程
DEAD_PROSESS
记录一结束的进程
ACCOUNTING
目前尚未被使用
exit_status结构定义:
structexit_status
{
short int e_termination; //进程结束状态
short int e_exit; //进程退出状态
};

cnbird2008
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux-utmpx:帮助程序库读取utmpwtmp登录记录
03-30
用于解析/ var / log / wtmp,/ var / run / utmp的帮助程序库。 安装 将此行添加到您的应用程序的Gemfile中: gem 'linux-utmpx' 然后执行: $ bundle install 或将其自己安装为: $ gem install linux-utmpx ...
linux中utmp是啥?
zqh1630的专栏
09-14 815
例如,当一个用户通过 SSH 登录到系统时,系统就会在 utmp 文件中创建一个新的记录,其中包含了用户的用户名、使用的终端设备(如 pts/3)、登录时间等信息。这些结构包含了各种信息,包括终端名(如 tty1 或 pts/3)、登录用户名、进程 ID、会话类型等。在 Unix 和类 Unix 系统(如 Linux)中,utmp 文件是一个记录当前登录到系统的用户的信息的文件。因此,你可以通过查看 utmp 文件来知道哪些用户当前正在登录系统,他们分别在哪些终端上,以及他们的登录时间等信息。
Linux 中的 utmpwtmp 和 btmp 文件是什么?
最新发布
网络技术联盟站
12-04 582
Linux系统中的utmpwtmp和btmp文件是用于记录用户登录信息的重要文件。这些文件都是二进制数据文件,因此不能直接通过文本编辑器(如vim)打开和编辑。相反,我们需要使用特定的命令来查看这些文件的内容。
utmputmp.h、struct utmpUTMP_FILE
zhg2546179328的博客
06-01 463
/var/run/utmputmp.h、struct utmpUTMP_FILE
查看linux下utmp文件,Linux系统中的utmpwtmp文件的不同之处
weixin_42378374的博客
05-05 2463
本文最后更新于2015年1月31日,已超过 1 年没有更新,如果文章内容失效,还请反馈给我,谢谢!因为最近对Linux系统的审计感兴趣(其实也因为任务在身),所以需要了解如何定位“凶手”——从众多的登录用户中找出执行了恶意/非法命令的那个人。除了对Bash的history做审计之外(重新编译Bash,启用syslog功能),还要能找出具体的那个人——在执行sudo/su命令之前的那个用户,涉及到了...
Linux日志文件secure、wtmputmp、lastlog、messages
SHELLCODE_8BIT的博客
07-10 4058
1.secure日志/var/log/secure日志用来记录登录成功和失败2.wtmp日志/var/log/wtmp:该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件,使用last命令查看3.utmp日志/var/run/utmp:该日志文件记录有关当前登录的每个用户的信息。如 who、w、users、finger等就需要访问这个文件4.lastlog日志/var/log/lastlog :记录最后一次用户成功登陆的时间、登陆IP等信息...
utmptail:将utmp文件作为JSON发出
05-13
On most systems these logs are located at /var/log/{btmp, utmp, wtmp}. See utmp(5) for more information on login record files. Usage of ./utmptail: The file to read in. (default "/dev/stdin") -...
azazel:Azazel是基于Jynx rootkit的原始LD_PRELOAD技术的用户级rootkit。 它更加健壮并具有其他功能,并且主要致力于反调试和反检测。
03-31
隐藏文件和目录 隐藏远程连接 隐藏流程 隐藏登录名 PCAP挂钩可避免局部嗅探 两个接受后门。 加密的accept()后门-完整的PTY 纯文本accept()后门-完整PTY 用于本地特权和远程进入的PAM后门 基于pty的utmp / ...
fluent-plugin-utmpx:Fluentd Input插件可从varlogwtmp,varrunutmp中提取utmpx条目
03-31
输入插件可提取/var/log/wtmp或/var/run/utmp 。 该插件使用解析上述文件。 安装 Ruby $ gem install fluent-plugin-utmpx 邦德勒 将以下行添加到您的Gemfile中: gem "fluent-plugin-utmpx" 然后执行: $ ...
网络数据安全.pptx
06-10
-perm -004000 -o -perm -002000 \) -type f –print Tar –d 显示备份系统与被破坏系统的差别 Md5sum检查被更改的rpm包 检查日志文件messages,xferlog,utmp,wtmp, ~/.history 网络数据 全全文共38页,当前为第8页。...
Linux查看utmp文件,Linux日志文件-----utmp,wtmp,lastlog,messages
weixin_35171603的博客
04-30 751
Linux日志文件utmpwtmp、lastlog、messages:1、有关当前登录用户的信息记录在文件utmp中;======who命令2、登录进入和退出纪录在文件wtmp中;========w命令3、最后一次登录文件可以用lastlog命令察看;4、messages======从syslog中记录信息注意:wtmputmp文件都是二进制文件,他们不能被诸如tail命令剪贴或合并(使用ca...
linux utmp服务,[合集] utmp,wtmp,btmp各是干什么的?
weixin_36058685的博客
05-06 1557
☆─────────────────────────────────────☆JulyClyde(七月)于(SatNov2611:19:392005)提到:今天突然又看到一个btmp把我对?tmp系列文件的印象全搞乱了哪位大侠告诉我?☆─────────────────────────────────────☆MrWrong(雨中的猪头)于(SatNov2611:22:48...
Linux基础运维常用命令-手工整理版
qdzhanghao的博客
08-23 1188
ALT+shift+t 复制一个窗口 一、开关机相关: shutdown -h now 立刻关机 -h +1 1分钟后关机 init 0 关机 halt 停止系统,需人工关闭;poweroff 停系统且关闭电源 reboot 重启;shutdown -r now 立刻重启;-r +1 1分钟后重启;init 6重启; shutdown -h 20:00 shutdown -c 取消; logout注销 启动级别0-6 0关机;1单用...
使用 utmpdump 监控 CentOS 用户登录历史
weixin_34319999的博客
11-15 175
保留、维护和分析日志(如某个特定时期内发生过的,或正在发生的帐号事件),是Linux系统管理员最基础和最重要的任务之一。对于用户管理,检查用户的登入和登出日志(不管是失败的,还是成功的)可以让我们对任何潜在的安全隐患或未经授权使用系统的情况保持警惕。例如,工作时间之外或放假期间的来自未知IP地址或帐号的远程登录应当发出红色警报。在CentOS系统上,用户登录历史存储在以下这些...
linux 日志文件utmpwtmp、lastlog、messages介绍
whatday的专栏
08-26 6758
1、有关当前登录用户的信息记录在文件utmp中;使用who /var/log/wtmp 查看 2、登录进入和退出纪录在文件wtmp中;使用w /var/log/wtmp 查看 3、最后一次登录文件可以用lastlog命令察看; 4、messages======从syslog中记录信息 注意:wtmputmp文件都是二进制文件,他们不能被诸如tail命令剪贴或合并(使用cat命令)。用户 需要...
centos----utmpdump源代码分析一
linux-0.11调试教程
02-27 496
/* * utmpdump * * Simple program to dump UTMP and WTMP files in raw format, so they can be * examined. * * Based on utmpdump dump from sysvinit suite. * * Copyright (C) 1991-2000 Miquel van Smoorenburg <[email protected]> * * Copyright (C)...
[转]Linux日志管理详解
heiyeluren的blog(黑夜路人的开源世界)
12-16 2022
Linux日志管理详解from: http://kunming.cyberpolice.cn/aqjs/20001.html          日志对于安全来说,非常重要,他记录了系统每天发生的各种各样的事情,你可以通过他来检查错误发生的原因,或者受到攻击时攻击者留下的痕迹。日志主要的功能有:审计和监测。他还可以实时的监测系统状态,监测和
btmp和utmp wtmp区别
07-27
btmp、utmpwtmp是在Linux和UNIX系统中用于记录系统登录和登出信息的文件。它们的区别如下: 1. utmp(User Accounting File):utmp文件记录了当前登录到系统的用户的信息,包括用户名、终端设备、登录时间等。该...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值