lastb: /var/log/btmp空

Question

/var/log/btmp文件应该包含所有错误的登录尝试(至少在Fedora上是这样的)。在我的Debian /Linux5.0服务器上，它是空的。这些权限最初是：

-rw-rw---- 1 root utmp 0 Jul 1 06:25 /var/log/btmp

但我把它们改成了：

-rw------- 1 root root 0 Jul 1 06:25 /var/log/btmp

但这也没用。我仍然没有在btmp中看到任何东西(是的，我正在创建错误的登录尝试来测试它)。

我用谷歌搜索了我的大脑，但找不到解决办法。有什么想法吗？

Answer 1

我觉得这是露台的问题。我在一个Ubuntu系统上测试了这一点，错误的ssh登录尝试被登录到/var/log/auth.log，但没有登录到btmp。在控制台，错误的登录尝试确实会转到btmp。

在谷歌搜索中，我看到的报道可以追溯到2006-2007年。

Answer 2

一定要尝试生成许多不同类型的失败登录尝试。尝试从X (gdm或kdm或xdm)，尝试从控制台，尝试从ssh，尝试从sudo和尝试从su。不同的子系统可以(也将)以不同的方式配置。对于ssh来说，配置为使用内部登录命令以绕过/var/log/btmp业务并不少见。还可以使用last命令。

您可以查看/var/log/secure中是否存储了失败的登录尝试。但是，恐怕我不知道Debian日志目录的结构。对/var/log目录中的任何内容尝试tail -f logfile。很可能ssh在某个地方记录了什么东西。