Este artículo se centra en tres archivos de Linux: UTMP, WTMP y BTMP. La grabación es una parte crucial en cualquier sistema operativo basado en Linux. Se mantienen registros de inicios de sesión y cierres de sesión en el sistema, así como los intentos fallidos de inicios de sesión. En este artículo, explicaremos el archivo binario que se encarga de mantener los registros de los inicios de sesión, los inicios de sesión y los intentos de inicio de sesión malos/fallidos. El propósito de estos registros es proporcionar al sistema operativo y la aplicación de Linux una línea de tiempo o un resumen de las circunstancias que pueden conducir a soluciones para cualquier problema de solución de problemas que puedan ocurrir. Todos estos registros se registran en los tres archivos en Linux.
¿Qué son los archivos UTMP, WTMP y BTMP en Linux??
UTMP, WTMP y BTMP son archivos binarios específicos que registran los inicios de sesión, los inicios de sesión y los intentos de inicio de sesión en su sistema Linux. Cuando usamos un comando específico, nos ayuda a encontrar el historial de quién inició sesión, cuándo registraron el que incluye el día, la fecha y la marca de tiempo, y desde donde alguien ha iniciado sesión en el sistema Linux que incluye qué servidor se usó y se usó y la ubicación del terminal a través del cual el usuario accedió al sistema.
Archivo UTMP
La "U" en UTMP representa el usuario, ya que registra información sobre "quién" inició sesión en el sistema. Este registro también muestra la ubicación de los terminales a través de la cual se inició el sistema. Es un archivo binario que administra los usuarios que se registran en el sistema y registran todas las cuentas, como el estado actual del sistema, administrando y registrando los inicios de sesión, inicios de sesión, terminales de inicios de sesión, etc. Estos archivos no son archivos de texto simples, pero están en forma binaria y generalmente se almacenan en/var/run/utmp.
Ejemplo 1:
Si ejecutamos un comando "quién" en el terminal, la información de inicio de sesión se obtiene desde/var/run/utmp y luego la información registrada, como el estado de inicio de sesión actual, el terminal de inicio de sesión, el inicio de sesión, etc. Vea la siguiente imagen del comando mencionado y cómo muestra el registro:
Después de escribir el comando "quién" y ejecutarlo, obtenemos el siguiente resultado:
Aquí, los resultados nos muestran la identificación del usuario, su hora y fecha de inicio de sesión, así como la ID del servidor. Estos registros son necesarios para todos los sistemas operativos de Linux, ya que ayudan a identificar la causa de cualquier problema que pueda surgir.
Archivo wtmp
La "W" en WTMP representa "quién", lo que significa que nos dice quién es el usuario y "cuándo" el usuario inició sesión y desconectó; Es toda la historia del usuario de UTMP. El historial se encuentra en/var/log/wtmp y muestra todos los datos grabados pasados de inicios de sesión y cierres de sesión. A medida que WTMP registra todos los datos iniciados y registrados del usuario, se puede decir que conserva o mantiene todas las acciones y comandos de UTMP. Su comando es "W", que muestra fundamentalmente los detalles de inicio de sesión del usuario y el historial.
Ejemplo 2:
Como supimos que WTMP es básicamente un registro para el archivo UTMP, si ingresamos el comando: último -f/var/log/wtmp, muestra la lista de inicios de sesión y tiempos de cierre de sesión y muestra el nombre de usuario y la dirección IP del sistema. Consulte la siguiente captura de pantalla para ver cómo el comando mencionado muestra los registros de registro:
La siguiente es la salida que obtenemos cuando damos el comando al sistema:
Como se puede ver en la salida, cuando se da el comando, genera el informe de inicios de sesión y cierres de sesión del sistema. Esta salida muestra las marcas de tiempo, los días y las fechas, así como el estado del sistema, como si el usuario todavía está iniciado, el sistema aún se ejecuta o se ha bloqueado, tiene el usuario que se registró o se ha cerrado.
Archivo btmp
La "B" en BTMP es para "malo", ya que registra todos los intentos de inicio de sesión de malos, fallidos o malos. Es similar al archivo WTMP, ya que registra y mantiene los intentos de inicio de sesión fallidos o malos y se encuentra en/var/log/btmp. Como registra los intentos fallidos de inicios de sesión, también se puede utilizar para fines de seguridad. El archivo BTMP se basa en/var/log/btmp y se genera automáticamente tan pronto como el sistema se inicia. Se requieren privilegios de sudo para acceder al archivo y el comando "LastB" es leer los archivos. Se puede ver en el Ejemplo 3 que cuando se ejecuta el comando LastB, el sistema plantea el historial de los datos que muestran los intentos de inicio de sesión fallidos o malos.
Ejemplo 3:
El historial de los intentos de inicio de sesión fallidos se puede ver ingresando el comando "LastB". Este comando, cuando se administra, muestra todos los datos sobre los intentos fallidos o los malos intentos de inicio de sesión en el sistema junto con el que se usó el servidor. El servidor puede ser local o remoto dependiendo de la ubicación de los usuarios.
La siguiente es la captura de pantalla adjunta del comando para ver los registros de intento de inicio de sesión en Linux.
Después de ingresar el comando, presione ENTER para ejecutarlo. La salida del comando anterior es el siguiente:
Aquí, la salida muestra el día, la fecha y la hora del intento de inicio de sesión en el sistema. BTMP es un archivo que es necesario, ya que registra los intentos de inicio de sesión fallidos. Como se registran en tales detalles, también ayuda con la seguridad.
Conclusión
Este artículo es una revisión breve y simple de los tres archivos de registro que registran la actividad en el sistema en Linux. Aquí, discutimos y exploramos los archivos UTMP, los archivos WTMP y los archivos BTMP en Linux. También aprendimos a diferenciar entre estos tres archivos y para qué se utilizan para. Estos tres archivos contienen los datos de los inicios de sesión y el inicio de sesión, así como los registros de la ubicación de los servidores a través de los cuales un usuario inició sesión, ya sea desde el servidor local o de un servidor remoto. Con la ayuda de estos tres archivos, podemos rastrear cualquier fuente que pueda causar los problemas de solución de problemas. Si no está familiarizado con estos archivos, este artículo proporciona explicaciones simples y fáciles de estos archivos para borrar y profundizar sus conceptos. Para una mejor comprensión de estos conceptos, también puede ejecutar los comandos de su sistema y ver qué significa la salida.