Я только что получил экземпляр Amazon EC2 с Ubuntu 12.04.
Проблема в том, что команда last не работает...
Сообщение об ошибке:
last: /var/log/wtmp: No such file or directory
Perhaps this file was removed by the operator to prevent logging last info.
Спасибо заранее!
Скорее всего, вы тщательно очистили системные журналы в папке /var/log/.
Это не очень важно решить.
Шаг 1: создайте файл, используя следующую команду
sudo touch /var/log/wtmp
Шаг 2. Установите правильные разрешения
sudo chown root:utmp /var/log/wtmp
sudo chmod 0664 /var/log/wtmp
Позднее редактирование:
Вопрос в комментариях:
Я уверен, что я не удалял этот конкретный, может ли это быть знаком вторжения
Файл является файлом журнала, используемым командой linux last, которая
отображает список всех зарегистрированных пользователей (и out), так как этот файл был создан
Конечно. Если бы я был нарушителем, и я хочу удалить какие-либо признаки моего посещения, я бы, вероятно, удалил свой логин из этого файла журнала, но, скорее всего, я бы не удалял весь файл, поскольку это было бы признаком вторжения, Если мне все равно и просто хочу стереть трассировку, я могу просто уничтожить всю машину.
Более вероятная причина отсутствующей причины описана в книге Hardening Linux Джеймсом Тернбуллом, когда речь идет о last и lastb
Чтобы начать сбор данных, необходимых для заполнения вывода этих команд, вам необходимо создать пару файлов для хранения данных. Некоторые дистрибутивы автоматически создают эти файлы, но другие требуют, чтобы их создавали вручную.
Я не эксперт по судебной экспертизе, поэтому я не мог рассказать вам, как обнаружить вторжение, и я не могу точно сказать, что вы не являетесь объектом взлома, но лично я считаю, что описанная причина может быть более реалистичными.
Возможно, вы захотите включить и btmp.
touch /var/log/wtmp
chmod 0664 /var/log/wtmp
chown root:utmp /var/log/wtmp
touch /var/log/btmp
chmod 0664 /var/log/btmp
chown root:utmp /var/log/btmp