刚刚注意到虚拟容器(Ubuntu Hardy)中有一些 640MB wtmp 文件。
# last -n 10000 -f /var/log/wtmp.1|wc -l
384
# ls -hl /var/log/wtmp.1
-rw-rw-r-- 1 root utmp 641M 21. Sep 07:49 /var/log/wtmp.1
未安装 logrotate(我只是这样做并强制旋转)。
那里有没有被显示的记录last(应该显示最后 1000 个条目,但显然只有 384 个)。
快速浏览wtmp/utmp手册页,它看起来不像一个条目应该使用大约 1,6MB。
除了last检查这些文件之外,还有其他程序吗?
小智 7
只是为了帮助可能觉得这有用的其他人......
除了
last检查这些文件之外,还有其他程序吗?
是的,试试utmpdump。
$ utmpdump /var/log/wtmp
logrotate 是个好主意。
像任何常规文件一样,wtmp 可能是“稀疏的”(参见 lseek(2)“孔”和ls -s),它可以显示实际占用很少磁盘的极端文件大小。洞是怎么到那里的,如果是洞的话?getty(8)和朋友可能有一个错误。或者系统崩溃和 fsck 修复可能导致它。
如果您想查看 wtmp 的原始内容,od或者hd有利于查看二进制文件并具有显示长时间空运行的快乐副作用。
除非它再次发生,否则我不会考虑更多。一个略胜一筹的入侵者会做得更好,内容并不那么有趣,几乎不依赖于他们。