1. casa
  2. Domanda e risposta
  3. Amazon EC2 - ultimo errore comando

Amazon EC2 - ultimo errore comando

2012-11-23 15 views
10

Ho appena ricevuto un'istanza micro Amazon EC2 con Ubuntu 12.04. Il problema è che il comando last non funziona ...Amazon EC2 - ultimo errore comando

Il messaggio di errore è:

last: /var/log/wtmp: No such file or directory 
Perhaps this file was removed by the operator to prevent logging last info.

Grazie in anticipo!

fonte

2012-11-23 m_vdbeek

risposta

18

Molto probabilmente è stato ripulito un po 'troppo attentamente i registri di sistema nella cartella /var/log/. Questo non è un grosso problema da risolvere.

Fase 1: Ricreare il file utilizzando il seguente comando

sudo touch /var/log/wtmp

Fase 2: Impostare autorizzazioni appropriate

sudo chown root:utmp /var/log/wtmp 
sudo chmod 0664 /var/log/wtmp

tardo edit:

interrogativo nel commenti:

Sono abbastanza sicuro che non mi cancellare quel particolare uno, può essere segno di un'intrusione

Il file è un file di log utilizzato dal comando linux last che

visualizza un elenco di tutti gli utenti collegati (e out) dal momento che il file è stato creato

Certo - se sarei l'intruso e voglio rimuovere qualsiasi segno della mia visita probabilmente rimuoverei il mio login da questo file di log, ma molto probabilmente non cancellerei l'intero file in quanto questo sarebbe un segno di intrusione. Se non mi interessa e voglio solo cancellare la traccia, potrei distruggere l'intera macchina.

Più probabile ragione per la ragione mancante viene descritto nel libro Hardening Linux by James Turnbull quando si parla di last e lastb

Per iniziare a raccogliere i dati necessari per popolare l'output di questi comandi, è necessario creare un paio di file per contenere i dati. Alcune distribuzioni creano automaticamente questi file, mentre altri richiedono che vengano creati manualmente.

io non sono un esperto di medicina legale, quindi non saprei dire come rilevare un'intrusione e non posso dire per certo che non hai essere il bersaglio di un hack, ma personalmente credo che il descritto la ragione potrebbe essere più realistica.

fonte

2012-11-23 21:33:26

+0

grazie per la risposta facile! –

+2

sono abbastanza sicuro di non averlo cancellato. può essere il segno di un'intrusione. dove controllare? – durilka

+0

pensato alla tua domanda, ho aggiunto qualche informazione in più alla mia risposta sopra –

2

Si potrebbe anche voler includere il btmp.

touch /var/log/wtmp 
chmod 0664 /var/log/wtmp 
chown root:utmp /var/log/wtmp 

touch /var/log/btmp 
chmod 0664 /var/log/btmp 
chown root:utmp /var/log/btmp

fonte

2015-06-19 08:17:11

Problemi correlati

 Problemi correlati