lastlog Verständnisfrage

[dbx]

Hi,

ich probiere gerade dies und das aus und bin bei chkrootkit angekommen Über folgendes bin ich gestolpert:

Code: Alles auswählen

Checking `z2'...  
user 1 deleted or never logged from lastlog!
user 2 deleted or never logged from lastlog!
user root deleted or never logged from lastlog!

Also mal angeschaut, was lastlog so sagt:

Code: Alles auswählen

root@xy:/home/user# lastlog
Benutzername     Port     Von              Letzter
1                                       **Noch nie angemeldet**
2                                       **Noch nie angemeldet**
root                                       **Noch nie angemeldet**

Das wunderte mich, die Datei lastlog ist binär, schaue ich sie mir mit hexdump an, tauchen nur Nullen auf:

Code: Alles auswählen

root@xy:/home/user# hexdump /var/log/lastlog
0000000 0000 0000 0000 0000 0000 0000 0000 0000
*

Frage mich, was das bedeutet, logging deaktiviert? Oder etwas anderes? Würde mich über Ratschläge freuen.

MfG
dbx

[DeletedUserReAsG]

Gerade mal bei mir reingeschaut, und es sind nur die „Terminallogins“, also zu ttyX und pts/X, geloggt.

cu,
niemand

[Methusalix]

Hallo,

Das wunderte mich, die Datei lastlog ist binär, schaue ich sie mir mit hexdump an, tauchen nur Nullen auf:..

Was genau wundert Dich denn jetzt?.
Wenn Du lastlog aufrufst, dann wird das Programm /usr/bin/lastlog
gestartet:

Code: Alles auswählen

user@localhost:~$ file /usr/bin/lastlog
/usr/bin/lastlog: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked (uses shared libs), for GNU/Linux 2.6.18, stripped

Dieses wiederum wertet die Datei /var/log/lastlog aus. Dabei handelt es sich um eine
Datenbank.

Code: Alles auswählen

user@localhost:~$ file /var/log/lastlog
/var/log/lastlog: data

.
Passend dazu schreibt die manpage:

DESCRIPTION
lastlog formats and prints the contents of the last login log
/var/log/lastlog file.

Gruß und viel Spaß beim Rumprobieren M.

[dbx]

Hi,

mich wundert, dass anscheinend die Logins nicht gelogt werden.

"The lastlog file is a database which contains info on the last login of each user." Tut er eben nicht.

Code: Alles auswählen

root   **Noch nie angemeldet**

Ich finde es nämlich grundsätzlich sinnvoll, wenn man schauen kann, wann welcher Benutzer angemeldet war. Würde ich an einem Rechner herummachen, der mir nicht gehört, würde ich diese Information natürlich löschen, deswegen wundere ich mich etwas, dass lastlog anscheinend nichts tut bei mir

Rum.probierend
dbx

[goeb]

Du benutzt sicher 'nen grafischen Loginmanager. Schau mal ob in dessen PAM-Konfiguration (/etc/pam.d/[kdm|gdm|...], je nachdem welcher es ist) eine Zeile

Code: Alles auswählen

session optional pam_lastlog.so

drinsteht. Wenn nicht, dann probier mal ob es klappt wenn du die Zeile mit zu den session-Sachen die schon drinstehen packst. Dann sollten die Logins auch mitgeschrieben werden, zumindest die der normalen Benutzer, als root meldet man sich ja nicht normal an...

(Ich verwende keinen grafischen Login, kann es also nicht testen...)

MfG, gœb