私はDebianの多目的サーバーを維持しており、唯一の管理者です。last
私はサーバーにSSHでアクセスするたびにこのコマンドを実行して、そのサービスを使用しているすべてのユーザーを識別して許可するかどうかを確認します。もちろん、インターネット上で安全に保つためにセキュリティを直接修正しました。
昨夜コマンドを実行してみると、ログが完全に削除され、サーバーにユーザーエントリが全くないことがわかりました。最後に実行したとき、通常、誰がシステムを使用しているかに関する情報が15行以上生成されましたが、今回は1行しか表示されませんでした。私はそれを使い始めてから数ヶ月ほどしかありませんでした。マニュアルページを読みましたが、しばらくしてから独自にリセットされるという内容はありません。私のサーバーがハッキングされたのではないでしょうか? ?このサーバーに正当にアクセスできる唯一の方法は、私の個人的なopenvpnサーバーを使用することです。
答え1
データファイルが削除されると、たとえば、多くのコンピュータで毎月のタスクにリセットされます。 last
読むwtmp
。これを行うシステムでは、wtmp
(しばらく)保存するために既存の名前を変更するのが一般的です。以下を読むことができます。それlast
-f
そのファイル名と一緒にオプションを指定してファイルを使用します。
追加資料:
- /etc/logrotate.confの/var/log/wtmpへの参照を理解する
- ログファイルの回転設定必ず読むべきヒント
/etc/logrotate.conf