Hallo borneo,
ich habe es gerade bei Fedora 16 an einem Rechner getestet, auf dem man sich von außerhalb
anmelden kann.
Auf diesem wird auch bei "utmpdump /var/log/wtmp" bei manchen Einträgen
(diejenigen, die für Verbindungen von außerhalb stehen) im siebten Feld eine IP-Adresse
angezeigt, und im sechsten Feld steht der Rechnername (mit Domain).
Bei einem Rechner, auf dem nur lokal gearbeitet wird, ist die angezeigte IP-Adresse bei
allen IP-Einträgen "0.0.0.0".
Ich würde die Ausgabe von "utmpdump /var/log/wtmp" so verstehen, durch die
eckigen Klammern aufgeteilt in Felder:
- Feld 1: ? (eine einzelne Ziffer, z.B. "7", bei Bedarf in Doku / Sourcecode
nachschlagen)
- Feld 2: PID - Prozess-ID
- Feld 3: Kurzbezeichnung für ein Terminal / X11 Display / irgendein Device
- Feld 4: Benutzername, oder Aktivitiät wie LOGIN, reboot, runlevel, shutdown, usw.
- Feld 5: Device (Terminal), oder "~" wenn nicht zutreffend (z.B. bei reboot)
- Feld 6: Rechnername (mit Domain), oder X11 Display (":0"), oder Kernel Version
(z.B. bei reboot)
- Feld 7: IP-Adresse; "0.0.0.0" wenn lokal oder sonst nicht zutreffend
- Feld 8: Datum
Bei "utmpdump -o /var/log/wtmp" erscheint bei mir die obige Ausgabe teilweise
falsch auf die Felder verteilt - ich würde sie als unbrauchbar bezeichnen. Beispielsweise
wird der Rechnernamen zerteilt und ein Teil in dem Feld angezeigt, in dem der Benutzername
stehen sollte. Ich vermute, das Datenformat passt einfach nicht zur Option
"-o".
Wenn bei "utmpdump /var/log/wtmp" nichts falsches angezeigt wird, aber
"utmpdump -o /var/log/wtmp" komische Werte liefert, würde ich mir _nur deswegen_
keine Sorgen machen. Wenn es andere Hinweise auf verdächtige Aktivitäten gibt, sollte
denen natürlich trotzdem nachgegangen werden.
Viele Grüße
Edgar